Cхема агрегации потоков NetFlow

1. Чтение записей о потоках в NetFlow пока не найдём IP-socks. Получаем время соединения, IP-адрес и номер порта - (Time,DestIP,DestPort).
   
2. Читаем Socks-log на временном интервале [Time,+] пока не находим запись о завершении сессии и на интервале [-,Time] пока не находим запись о начале сессии , в этом интервале проверяем на соответствие паре (DestIP,DestPort). Получаем Ид ентификатор Socks-сессии(ID) и выбираем все записи Socks с этим ID.(Также получа ем количество Socks-сессий для агоритма определения количества DNS запросов).
   
3. Получаем Время начала и Время завершения Socks-сессии, IP-адрес и порт точ ки назначения(TimeStart,TimeEnd,SourceIP,SourcePort).
   
4. Продолжаем чтение записей NetFlow на интервале [TimeStart,TimeEnd], поиск записей требуемых по типу.
   
5. Подсчёт количества DNS-запросов среди записей NetFlow на интервале [TimeSt art,TimeEnd]. Алгоритм включения записей o DNS-запросе различным Socks-сессиям.
   
6. Генерация новой записи и удаление уже учтённых записей.
   
7. Возврат к последней обработанной записи.
   

Спасибо за внимание