六大常用网络流量特征提取工具。在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段。下面,本文介绍几种常用的网络流量特征提取工具。1.WireSharkWireShark是一种常见的网络数据包分析工具。本软件可以在线拦截各种网络数据包,显示网络数据包的详细信息,还可以分析已有的数据包数据,例如tcpdump/WinDump、WireShark等收集的数据包数据。WireShark提供了多种过滤规则进行数据包过滤。用户可以使用该工具的分析功能获取各种网络数据特征。下载地址:https://www.wireshark.org/2.TcptraceTcptrace是一个分析TCP流量数据文件的工具。它的输入包括各种基于消息收集程序输出的文件,例如tcpdump、snoop、etherpeek、HPNetMetrix和WinDump。使用Tcptrace可以获得每次通信连接的各种信息,包括:持续时间、字节数、发送和接收的分片、重传、往返时间等,还可以生成很多图表供用户后续分析。下载地址:http://www.tcptrace.org/index.shtml3.QPAQPA是一款开源的基于进程捕获的实时流量分析软件。基于进程抓包的优势,可以实时准确判断每个数据包属于哪个进程。基于正则表达式书写规则,提取IP、端口、包长、内容等维度特征;QPA自动对流量类型进行分类,分析方便,优于基于一对一会话的分析模式。下载地址:http://git.oschina.net/qielige/openQPA4.TstatTstat是在第三款软件Tcptrace的基础上进一步开发的,可用于普通PC硬件或数据采集卡上的在线包数据采集。此外,Tstat还可以分析现有的数据包并支持各种转储格式,例如libpcap库支持的格式。双向TCP流分析可以获得新的统计特征,如阻塞窗口大小、乱序片段等,这些信息可以区分服务器端和客户端,也可以区分内网主机和外网主机。Tstat分析网络流量并生成三种不同类型的测量集合:直方图、循环数据库和日志文件。Tstat支持在Linux系统(当前为Ubuntu、Debian、RedHat和CentOS)和MacOSX(从10.6SnowLeopard到当前的10.11ElCapitan)上进行测试。下载地址:http://tstat.tlc.polito.it/5.CapAnalysisCapAnalysis是一款有效的网络流量分析工具,适用于信息安全专家、系统管理员等需要对捕获的大量网络流量进行分析的人员。CapAnalysis的工作原理是索引PCAP文件的数据集,以各种格式执行和转换它们的内容,从包含TCP、UDP或ESP流的列表到它们连接的图形表示。可以安装部署到debian32/64位、Ubuntu32/64位系统。下载地址:http://www.capalysis.net/ca/六.XplicoXplico的目标是提取Internet流量并捕获应用程序数据中包含的信息。解码控制器、IP/网络解码器、组件和可视化系统构成了一个完整的Xplico系统。系统支持HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv6等协议的解析。下载地址:http://www.xplico.org/archives/14下面是这七款工具的功能和使用对比。您可以根据工具的特点,将这些工具应用到实际分析中。
