六种常用的网络流量特征提取工具

六种常用的网络流量特征提取工具

在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取是网络流量特征分析的重要技术手段。下面,本文为大家介绍几款常用的网络流量特征提取的工具。

一、WireShark

WireShark是一款常见的网络数据包分析工具。该软件可以在线截取各种网络封包,显示网络封包的详细信息,也可分析已有的报文数据,如由
tcpdump/Win Dump、WireShark 等采集的报文数据。WireShark
提供多种过滤规则,进行报文过滤。使用者可借助该工具的分析功能,获取多种网络数据特征。

下载地址:https://www.wireshark.org/

二、Tcptrace

Tcptrace是一款分析TCP流量数据文件的工具,它的输入包括多种的基于报文采集程序输出的文件,如tcpdump,snoop,etherpeek,HPNet

Metrix和WinDump。使用Tcptrace可以获得每个通信连接的各种信息,包括:持续时间,字节数,发送和接收的片段,重传,往返时间等,也可以生成许多图形,用于使用者的后续分析。

 

下载地址:http://www.tcptrace.org/index.shtml

三、QPA

QPA是一款开源的基于进程抓包的实时流量分析软件。其基于进程抓包的优势,能够实时准确判定每个包所属进程,基于正则表达式书写规则,能提取IP、端口、报文长度与内容等维度特征;QPA按流量类型自动归类,分析简便,优于基于一条条会话的分析模式。

下载地址:http://git.oschina.net/qielige/openQPA

四、Tstat

Tstat是在第三款软件Tcptrace的基础上进一步开发而来,可以在普通 PC
硬件或者数据采集卡进行在线的报文数据采集。除此之外,Tstat 还可分析已有的数据报文,支持各种dump格式,如 libpcap
库支持的格式等。双向的 TCP
流分析可得到新的统计特征,如阻塞窗口大小、乱序片段等,这些信息在服务器和客户端有所区分,还可区分内网主机和外网主机。

Tstat分析网络流量并生成三种不同类型的测量集合:直方图,轮循调度数据库和日志文件。

Tstat支持在Linux系统(目前为Ubuntu,Debian,RedHat和CentOS)和Mac OS X(从10.6 Snow Leopard到目前的10.11 El Capitan)上测试。

下载网址:http://tstat.tlc.polito.it/

五、 CapAnalysis

CapAnalysis是一款有效的网络流量分析工具,适用于信息安全专家,系统管理员和其他需要分析大量已捕获网络流量的人员。CapAnalysis通过索引PCAP文件的数据集,执行并将其内容以多种形式转化,从包含TCP,UDP或ESP流的列表,到将其连接以地理图形的方式表示出来。可安装部署到debian32/64位,Ubuntu32/64位系统。

下载地址: http://www.capanalysis.net/ca/

六、Xplico

Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。解码控制器,IP/网络解码器,程序集和可视化系统构成了一个完整的Xplico系统。该系统支持对HTTP,SIP,IMAP,POP,SMTP,TCP,UDP,IPv6等协议的分析。

下载地址:http://www.xplico.org/archives/14

如下是这七种工具在功能和使用方面的比较,大家可根据工具的特点,将这些工具应用于实际分析中。

功能对比      WireShark   Tcptrace   QPA   Tstat   CapAnalysis   Xplico  
可分析离线报文              
支持实时数据处理     ×       ×    
流量可视分析       ×        
可查看内容特征              
可标识目标IP的地理位置   ×   ×   ×   ×      
监控特定媒体流量   ×   ×       ×    
过滤报文功能              
界面风格   窗口应用   命令行界面   窗口应用   Web   Web   Web  
实时数据采集源   PC 硬件或者数据采集卡   ×   基于进程   PC 硬件或者数据采集卡   ×   PC 硬件或者数据采集卡  
运行环境   Windows/Linux   Linux   Windows   Linux/Mac OS/Android    Linux   Linux

参考文献

[1] http://www.capanalysis.net/ca/

[2] http://www.xplico.org/archives/1472

[3] http://www.doc88.com/p-4971548572002.html

[4] http://git.oschina.net/qielige/openQPA

原文地址:http://blog.51cto.com/xiaogongju/2068532

时间: 2024-10-11 03:31:30

六种常用的网络流量特征提取工具的相关文章

网络流量查看工具为 iftop

作者: daodaoliang 时间: 2016年5月23日 版本: v0.0.1 邮箱: [email protected] 日常用的网络流量查看工具为 iftop, 但是他仅仅只能简单的查看网络的流量情况,若是想要查看某个链接的流量情况就比较困难了,因此再次推荐iftop 这个工具 0x01 安装 iftop 我是官方网站 编译安装iftop示例: 1 2 3 4 5 # centos yum install flex byacc libpcap ncurses ncurses-devel

Linux 环境查看《网络流量》工具及命令

1. nethogs: 按进程查看流量占用 [[email protected] ~]# yum -y install epel-release.noarch [email protected] ~]# yum -y install nethogs.x86_64 2. iptraf: 按连接/端口查看流量 [[email protected] ~]# yum -y install iptraf-ng.x86_64 3. ifstat: 按设备查看流量 http://gael.roualland.

轻量级网络流量转发工具 - Balance

Balance是一款具有负载均衡和故障转移功能的TCP代理软件.支持IPV6地址的监听和转发,支持rr轮询和ip hash. 某些功能可以替代iptables,比如讲来自本地的80端口转发到8080上: iptables是这样写的: iptables -t nat -A PREROUTING -d 192.168.1.1 -p tcp --dport 80 -j DNAT --to 192.168.1.1:8080 balance只需要这样: balance 80 localhost:8080

Ntop监控网络流量

运用Ntop监控网络流量 ____ 网络流量反映了网络的运行状态,是判别网络运行是否正常的关键数据,在实际的网络中,如果对网络流量控制得不好或发生网络拥塞,将会导致网络吞吐量下降. 网络性能降低.通过流量测量不仅能反映网络设备(如路由器.交换机等)的工作是否正常,而且能反映出整个网络运行的资源瓶颈,这样管理人员就可以根据网络 的运行状态及时采取故障补救措施和进行相关的业务部署来提高网络的性能.对网络进行流量监测分析,可以建立网络流量基准,通过连接会话数的跟踪.源/目的 地址对分析.TCP流的分析

linux下网络流量监控工具

今天QA同学让我协助检测下一台服务器的网络流量.没干过这活,在网上随便找了个命令.后来,发现是不对的,为了以后不出丑,决定收集下网络流量监测相关的工具. 查看某个网卡收发数据的总量 方法一 方法二 2.查看网卡的实时的流量 工具一 网上找到的一个脚本,基本上来说是处理ifconfig的结果,得到单位时间内的流量.也可以通过处理/proc/net/dev文件得到同样的结果. 使用方法:bash scriptfile eth1  不加参数默认为eth0 #!/bin/bash if [ -n "$1

Cacti 是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具

Cacti 是一套基于PHP,MySQL,SNMP及RRDTool开发的网络流量监测图形分析工具. mysqlreport是mysql性能监测时最常用的工具,对了解mysql运行状态和配置调整都有很大的帮助. mysqlsla是hackmysql.com推出的一款MySQL的日志分析工具,功能非常强大. 数据报表,非常有利于分析慢查询的原因, 包括执行频率, 数据量, 查询消耗等. http://www.kxtry.com/archives/338

安全运维之:网络实时流量监测工具iftop

网络管理是基础运维中一个很重要的工作,在看似平静的网络运行中,其实暗流汹涌,要保证业务系统稳定运行,网络运维者必须要了解网络的流量状态.各个网段的使用情形,带宽的利用率.网络是否存在瓶颈等,同时,当网络发生故障时,必须能够及时发现问题,迅速定位问题,进而解决问题,这就需要一些网络监测工具的辅助,本节将介绍一款小巧但功能很强大的网络实时流量监测工具iftop.一.iftop能做什么iftop是一款免费的网卡实时流量监控工具,类似于Linux下面top命令.iftop可以监控指定网卡的实时流量.端口

网络实时流量监测工具iftop

什么是iftop     iftop是一个免费的网卡实时流量监测工具,类似有top命令,不仅可以监控特定网卡的实时流量,端口连接信息等,还可以显示本机网络流量的情况,非常适用于监控代理服务器或者路由器的网络流量. 安装iftop  1. 下载:     [[email protected] ]#wget  http://www.ex-parrot.com/pdw/iftop/download/iftop-1.0pre4.tar.gz  2. 安装必要程序     [[email protecte

[Android Pro] 网络流量安全测试工具Nogotofail

reference to : http://www.freebuf.com/tools/50324.html 从严重的HeartBleed漏洞到苹果的gotofail 漏洞,再到最近的SSL v3 Poodle漏洞……我们已经见识到了网络流量漏洞所带来的巨大灾难.于是“谷人希”来了!谷歌公司最新开发了一款工具——Nogotofail,它可以帮助开发者检测网络流量类的安全漏洞. 让所有联网设备免受TLS和SSL加密漏洞的攻击 安卓安全工程师Chad Brubaker称,开发Nogotofail的最