Нужен алгоритм(-ы)(выборка по sequence, по номеру порта src и dst и тд и т.п) по которому с помощью pcap фильтров(код будет на С) можно определять :
1) Продолжительность сессии (аналог duration в Nfsen и start time в самом netflow)
2) Bytes per packet(среднее я буду уже сам считать)
3) Обьем инфы переданной в сессии.
2 и 3 опциональны.
По сути нужен функционал Wiresharkовского Follow TCP(SSL) stream