溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

六種常用的網(wǎng)絡(luò)流量特征提取工具

發(fā)布時(shí)間:2020-07-28 15:39:04 來源:網(wǎng)絡(luò) 閱讀:10722 作者:高鵬舉 欄目:安全技術(shù)

六種常用的網(wǎng)絡(luò)流量特征提取工具                                                  

在互聯(lián)網(wǎng)用戶行為分析和異常行為檢測(cè)的相關(guān)研究中,協(xié)議識(shí)別和特征提取是網(wǎng)絡(luò)流量特征分析的重要技術(shù)手段。下面,本文為大家介紹幾款常用的網(wǎng)絡(luò)流量特征提取的工具。

一、WireShark

WireShark是一款常見的網(wǎng)絡(luò)數(shù)據(jù)包分析工具。該軟件可以在線截取各種網(wǎng)絡(luò)封包,顯示網(wǎng)絡(luò)封包的詳細(xì)信息,也可分析已有的報(bào)文數(shù)據(jù),如由 tcpdump/Win Dump、WireShark 等采集的報(bào)文數(shù)據(jù)。WireShark 提供多種過濾規(guī)則,進(jìn)行報(bào)文過濾。使用者可借助該工具的分析功能,獲取多種網(wǎng)絡(luò)數(shù)據(jù)特征。

六種常用的網(wǎng)絡(luò)流量特征提取工具

下載地址:https://www.wireshark.org/

二、Tcptrace

Tcptrace是一款分析TCP流量數(shù)據(jù)文件的工具,它的輸入包括多種的基于報(bào)文采集程序輸出的文件,如tcpdump,snoop,etherpeek,HPNet Metrix和WinDump。使用Tcptrace可以獲得每個(gè)通信連接的各種信息,包括:持續(xù)時(shí)間,字節(jié)數(shù),發(fā)送和接收的片段,重傳,往返時(shí)間等,也可以生成許多圖形,用于使用者的后續(xù)分析。

六種常用的網(wǎng)絡(luò)流量特征提取工具

 

下載地址:http://www.tcptrace.org/index.shtml

三、QPA

QPA是一款開源的基于進(jìn)程抓包的實(shí)時(shí)流量分析軟件。其基于進(jìn)程抓包的優(yōu)勢(shì),能夠?qū)崟r(shí)準(zhǔn)確判定每個(gè)包所屬進(jìn)程,基于正則表達(dá)式書寫規(guī)則,能提取IP、端口、報(bào)文長(zhǎng)度與內(nèi)容等維度特征;QPA按流量類型自動(dòng)歸類,分析簡(jiǎn)便,優(yōu)于基于一條條會(huì)話的分析模式。

六種常用的網(wǎng)絡(luò)流量特征提取工具

 

下載地址:http://git.oschina.net/qielige/openQPA

四、Tstat

Tstat是在第三款軟件Tcptrace的基礎(chǔ)上進(jìn)一步開發(fā)而來,可以在普通 PC 硬件或者數(shù)據(jù)采集卡進(jìn)行在線的報(bào)文數(shù)據(jù)采集。除此之外,Tstat 還可分析已有的數(shù)據(jù)報(bào)文,支持各種dump格式,如 libpcap 庫(kù)支持的格式等。雙向的 TCP 流分析可得到新的統(tǒng)計(jì)特征,如阻塞窗口大小、亂序片段等,這些信息在服務(wù)器和客戶端有所區(qū)分,還可區(qū)分內(nèi)網(wǎng)主機(jī)和外網(wǎng)主機(jī)。

六種常用的網(wǎng)絡(luò)流量特征提取工具

Tstat分析網(wǎng)絡(luò)流量并生成三種不同類型的測(cè)量集合:直方圖,輪循調(diào)度數(shù)據(jù)庫(kù)和日志文件。

六種常用的網(wǎng)絡(luò)流量特征提取工具六種常用的網(wǎng)絡(luò)流量特征提取工具 

Tstat支持在Linux系統(tǒng)(目前為Ubuntu,Debian,RedHat和CentOS)和Mac OS X(從10.6 Snow Leopard到目前的10.11 El Capitan)上測(cè)試。

下載網(wǎng)址:http://tstat.tlc.polito.it/

五、 CapAnalysis

CapAnalysis是一款有效的網(wǎng)絡(luò)流量分析工具,適用于信息安全專家,系統(tǒng)管理員和其他需要分析大量已捕獲網(wǎng)絡(luò)流量的人員。CapAnalysis通過索引PCAP文件的數(shù)據(jù)集,執(zhí)行并將其內(nèi)容以多種形式轉(zhuǎn)化,從包含TCP,UDP或ESP流的列表,到將其連接以地理圖形的方式表示出來??砂惭b部署到debian32/64位,Ubuntu32/64位系統(tǒng)。

六種常用的網(wǎng)絡(luò)流量特征提取工具

下載地址: http://www.capanalysis.net/ca/

六、Xplico 

Xplico的目標(biāo)是提取互聯(lián)網(wǎng)流量并捕獲應(yīng)用數(shù)據(jù)中包含的信息。解碼控制器,IP/網(wǎng)絡(luò)×××,程序集和可視化系統(tǒng)構(gòu)成了一個(gè)完整的Xplico系統(tǒng)。該系統(tǒng)支持對(duì)HTTP,SIP,IMAP,POP,SMTP,TCP,UDP,IPv6等協(xié)議的分析。

六種常用的網(wǎng)絡(luò)流量特征提取工具

下載地址:http://www.xplico.org/archives/14

如下是這七種工具在功能和使用方面的比較,大家可根據(jù)工具的特點(diǎn),將這些工具應(yīng)用于實(shí)際分析中。

功能對(duì)比     WireShark  Tcptrace  QPA  Tstat  CapAnalysis  Xplico  
可分析離線報(bào)文              
支持實(shí)時(shí)數(shù)據(jù)處理    ×      ×    
流量可視分析      ×        
可查看內(nèi)容特征              
可標(biāo)識(shí)目標(biāo)IP的地理位置  ×  ×  ×  ×      
監(jiān)控特定媒體流量  ×  ×      ×    
過濾報(bào)文功能              
界面風(fēng)格  窗口應(yīng)用  命令行界面  窗口應(yīng)用  Web  Web  Web  
實(shí)時(shí)數(shù)據(jù)采集源  PC 硬件或者數(shù)據(jù)采集卡  ×  基于進(jìn)程  PC 硬件或者數(shù)據(jù)采集卡  ×  PC 硬件或者數(shù)據(jù)采集卡  
運(yùn)行環(huán)境  Windows/Linux  Linux  Windows  Linux/Mac OS/Android   Linux  Linux

參考文獻(xiàn)

[1] http://www.capanalysis.net/ca/

[2] http://www.xplico.org/archives/1472

[3] http://www.doc88.com/p-4971548572002.html

[4] http://git.oschina.net/qielige/openQPA


向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI