六種常用的網絡流量特征提取工具

六種常用的網絡流量特征提取工具                                                  

在互聯網用戶行為分析和異常行為檢測的相關研究中，協議識別和特征提取是網絡流量特征分析的重要技術手段。下面，本文為大家介紹幾款常用的網絡流量特征提取的工具。

一、WireShark

WireShark是一款常見的網絡數據包分析工具。該軟件可以在線截取各種網絡封包，顯示網絡封包的詳細信息，也可分析已有的報文數據，如由 tcpdump/Win Dump、WireShark 等采集的報文數據。WireShark 提供多種過濾規則，進行報文過濾。使用者可借助該工具的分析功能，獲取多種網絡數據特征。

下載地址：https://www.wireshark.org/

二、Tcptrace

Tcptrace是一款分析TCP流量數據文件的工具，它的輸入包括多種的基于報文采集程序輸出的文件，如tcpdump，snoop，etherpeek，HPNet Metrix和WinDump。使用Tcptrace可以獲得每個通信連接的各種信息，包括：持續時間，字節數，發送和接收的片段，重傳，往返時間等，也可以生成許多圖形，用于使用者的后續分析。

下載地址：http://www.tcptrace.org/index.shtml

三、QPA

QPA是一款開源的基于進程抓包的實時流量分析軟件。其基于進程抓包的優勢，能夠實時準確判定每個包所屬進程，基于正則表達式書寫規則，能提取IP、端口、報文長度與內容等維度特征；QPA按流量類型自動歸類，分析簡便，優于基于一條條會話的分析模式。

下載地址：http://git.oschina.net/qielige/openQPA

四、Tstat

Tstat是在第三款軟件Tcptrace的基礎上進一步開發而來，可以在普通 PC 硬件或者數據采集卡進行在線的報文數據采集。除此之外，Tstat 還可分析已有的數據報文，支持各種dump格式，如 libpcap 庫支持的格式等。雙向的 TCP 流分析可得到新的統計特征，如阻塞窗口大小、亂序片段等，這些信息在服務器和客戶端有所區分，還可區分內網主機和外網主機。

Tstat分析網絡流量并生成三種不同類型的測量集合：直方圖，輪循調度數據庫和日志文件。

Tstat支持在Linux系統（目前為Ubuntu，Debian，RedHat和CentOS）和Mac OS X（從10.6 Snow Leopard到目前的10.11 El Capitan）上測試。

下載網址：http://tstat.tlc.polito.it/

五、 CapAnalysis

CapAnalysis是一款有效的網絡流量分析工具，適用于信息安全專家，系統管理員和其他需要分析大量已捕獲網絡流量的人員。CapAnalysis通過索引PCAP文件的數據集，執行并將其內容以多種形式轉化，從包含TCP，UDP或ESP流的列表，到將其連接以地理圖形的方式表示出來。可安裝部署到debian32/64位，Ubuntu32/64位系統。

下載地址: http://www.capanalysis.net/ca/

六、Xplico 

Xplico的目標是提取互聯網流量并捕獲應用數據中包含的信息。解碼控制器，IP/網絡×××，程序集和可視化系統構成了一個完整的Xplico系統。該系統支持對HTTP，SIP，IMAP，POP，SMTP，TCP，UDP，IPv6等協議的分析。

下載地址：http://www.xplico.org/archives/14

如下是這七種工具在功能和使用方面的比較，大家可根據工具的特點，將這些工具應用于實際分析中。

參考文獻

[1] http://www.capanalysis.net/ca/

[2] http://www.xplico.org/archives/1472

[3] http://www.doc88.com/p-4971548572002.html

[4] http://git.oschina.net/qielige/openQPA