六种常用的网络流量特征提取工具
leiline
8年前
<p>在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段。下面,本文为大家介绍几款常用的网络流量特征提取的工具。</p> <h2>一、WireShark</h2> <p>WireShark是一款常见的网络数据包分析工具。该软件可以在线截取各种网络封包,显示网络封包的详细信息,也可分析已有的报文数据,如由 tcpdump/Win Dump、WireShark 等采集的报文数据。WireShark 提供多种过滤规则,进行报文过滤。使用者可借助该工具的分析功能,获取多种网络数据特征。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/08e4c07cb91518dedda122124f23b2a6.jpg"></p> <p><strong>下载地址:</strong> <a href="/misc/goto?guid=4958972214282868064" rel="nofollow,noindex">https://www.wireshark.org/</a></p> <h2>二、Tcptrace</h2> <p>Tcptrace是一款分析TCP流量数据文件的工具,它的输入包括多种的基于报文采集程序输出的文件,如tcpdump,snoop,etherpeek,HPNet Metrix和WinDump。使用Tcptrace可以获得每个通信连接的各种信息,包括:持续时间,字节数,发送和接收的片段,重传,往返时间等,也可以生成许多图形,用于使用者的后续分析。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/a806fb72dc8f75f6c48d8b3df48198f9.jpg"></p> <p><strong>下载地址:</strong> <a href="/misc/goto?guid=4959740057224896030" rel="nofollow,noindex">http://www.tcptrace.org/index.shtml</a></p> <h2>三、QPA</h2> <p>QPA是一款开源的基于进程抓包的实时流量分析软件。其基于进程抓包的优势,能够实时准确判定每个包所属进程,基于正则表达式书写规则,能提取IP、端口、报文长度与内容等维度特征;QPA按流量类型自动归类,分析简便,优于基于一条条会话的分析模式。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/f569f7cd4926b9d4579e2d26b530f51a.jpg"></p> <p><strong>下载地址:</strong> <a href="/misc/goto?guid=4959740057321511693" rel="nofollow,noindex">http://git.oschina.net/qielige/openQPA</a></p> <h2>四、Tstat</h2> <p>Tstat是在第三款软件Tcptrace的基础上进一步开发而来,可以在普通 PC 硬件或者数据采集卡进行在线的报文数据采集。除此之外,Tstat 还可分析已有的数据报文,支持各种dump格式,如 libpcap 库支持的格式等。双向的 TCP 流分析可得到新的统计特征,如阻塞窗口大小、乱序片段等,这些信息在服务器和客户端有所区分,还可区分内网主机和外网主机。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/60d99243948894326f95d8ba2f5e2ccf.jpg"></p> <p>Tstat分析网络流量并生成三种不同类型的测量集合:直方图,轮循调度数据库和日志文件。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/1079541389e29a1ca0cdefb19cc7549b.jpg"> <img src="https://simg.open-open.com/show/5c9ef9da272157861187fa293722bc30.jpg"></p> <p>Tstat支持在Linux系统(目前为Ubuntu,Debian,RedHat和CentOS)和Mac OS X(从10.6 Snow Leopard到目前的10.11 El Capitan)上测试。</p> <p><strong>下载网址:</strong> <a href="/misc/goto?guid=4959740057406455028" rel="nofollow,noindex">http://tstat.tlc.polito.it/</a></p> <h2>五、 CapAnalysis</h2> <p>CapAnalysis是一款有效的网络流量分析工具,适用于信息安全专家,系统管理员和其他需要分析大量已捕获网络流量的人员。CapAnalysis通过索引PCAP文件的数据集,执行并将其内容以多种形式转化,从包含TCP,UDP或ESP流的列表,到将其连接以地理图形的方式表示出来。可安装部署到debian32/64位,Ubuntu32/64位系统。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/5e57344d3728253e2bfa9d966708698c.jpg"></p> <p><strong>下载地址:</strong> <a href="/misc/goto?guid=4959740057489389592" rel="nofollow,noindex">http://www.capanalysis.net/ca/</a></p> <h2>六、Xplico</h2> <p>Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。解码控制器,IP/网络解码器,程序集和可视化系统构成了一个完整的Xplico系统。该系统支持对HTTP,SIP,IMAP,POP,SMTP,TCP,UDP,IPv6等协议的分析。</p> <p style="text-align:center"><img src="https://simg.open-open.com/show/b803ea15d645e4a1bf4891f7d689f5a7.jpg"></p> <p><strong>下载地址:</strong> <a href="/misc/goto?guid=4959740057575876770" rel="nofollow,noindex">http://www.xplico.org/archives/14</a></p> <p>如下是这七种工具在功能和使用方面的比较,大家可根据工具的特点,将这些工具应用于实际分析中。</p> <table> <thead> <tr> <th>功能对比 </th> <th>WireShark</th> <th>Tcptrace</th> <th>QPA</th> <th>Tstat</th> <th>CapAnalysis</th> <th>Xplico</th> </tr> </thead> <tbody> <tr> <td>可分析离线报文</td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong> <strong> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>支持实时数据处理</td> <td><strong><em>√ </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>流量可视分析</td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>可查看内容特征</td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>可标识目标IP的地理位置</td> <td><strong><em>× </em> </strong></td> <td><strong><em>× </em> </strong> <strong> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>× </em> </strong> <strong> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>监控特定媒体流量</td> <td><strong><em>× </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong> <strong> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>√ </em> </strong> <strong> </strong></td> </tr> <tr> <td>过滤报文功能</td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> <td><strong><em>√ </em> </strong></td> </tr> <tr> <td>界面风格</td> <td><strong><em>窗口应用 </em> </strong></td> <td><strong><em>命令行界面 </em> </strong></td> <td><strong><em>窗口应用 </em> </strong></td> <td><strong><em>Web </em> </strong></td> <td><strong><em>Web </em> </strong></td> <td><strong><em>Web </em> </strong></td> </tr> <tr> <td>实时数据采集源</td> <td><strong><em>PC </em> </strong> <strong> <em> 硬件或者数据采集卡 </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>基于进程 </em> </strong></td> <td><strong><em>PC </em> </strong> <strong> <em> 硬件或者数据采集卡 </em> </strong></td> <td><strong><em>× </em> </strong></td> <td><strong><em>PC </em> </strong> <strong> <em> 硬件或者数据采集卡 </em> </strong></td> </tr> <tr> <td>运行环境</td> <td><strong><em>Windows/Linux </em> </strong></td> <td><strong><em>Linux </em> </strong></td> <td><strong><em>Windows </em> </strong></td> <td><strong><em>Linux/Mac OS/Android </em> </strong></td> <td><strong><em> Linux </em> </strong></td> <td><strong><em>Linux </em> </strong></td> </tr> </tbody> </table> <h3>参考文献</h3> <p>[1] <a href="/misc/goto?guid=4959740057489389592" rel="nofollow,noindex">http://www.capanalysis.net/ca/</a></p> <p>[2] <a href="/misc/goto?guid=4959740057671947862" rel="nofollow,noindex">http://www.xplico.org/archives/1472</a></p> <p>[3] <a href="/misc/goto?guid=4959740057764087552" rel="nofollow,noindex">http://www.doc88.com/p-4971548572002.html</a></p> <p>[4] <a href="/misc/goto?guid=4959740057321511693" rel="nofollow,noindex">http://git.oschina.net/qielige/openQPA</a></p> <p>*本文原创作者:ArkTeam/ <strong> mureloy </strong> ,本文属FreeBuf原创奖励计划,未经许可禁止转载</p> <p> </p> <p>来自:http://www.freebuf.com/sectool/128008.html</p> <p> </p>