在網際網路使用者行為分析和異常行為檢測的相關研究中,協定識别和特征提取是網絡流量特征分析的重要技術手段。下面,本文為大家介紹幾款常用的網絡流量特征提取的工具。
WireShark是一款常見的網絡資料包分析工具。該軟體可以線上截取各種網絡封包,顯示網絡封包的詳細資訊,也可分析已有的封包資料,如由 tcpdump/Win Dump、WireShark 等采集的封包資料。WireShark 提供多種過濾規則,進行封包過濾。使用者可借助該工具的分析功能,擷取多種網絡資料特征。
Tcptrace是一款分析TCP流量資料檔案的工具,它的輸入包括多種的基于封包采集程式輸出的檔案,如tcpdump,snoop,etherpeek,HPNet Metrix和WinDump。使用Tcptrace可以獲得每個通信連接配接的各種資訊,包括:持續時間,位元組數,發送和接收的片段,重傳,往返時間等,也可以生成許多圖形,用于使用者的後續分析。
QPA是一款開源的基于程序抓包的實時流量分析軟體。其基于程序抓包的優勢,能夠實時準确判定每個包所屬程序,基于正規表達式書寫規則,能提取IP、端口、封包長度與内容等次元特征;QPA按流量類型自動歸類,分析簡便,優于基于一條條會話的分析模式。
Tstat是在第三款軟體Tcptrace的基礎上進一步開發而來,可以在普通 PC 硬體或者資料采集卡進行線上的封包資料采集。除此之外,Tstat 還可分析已有的資料封包,支援各種dump格式,如 libpcap 庫支援的格式等。雙向的 TCP 流分析可得到新的統計特征,如阻塞視窗大小、亂序片段等,這些資訊在伺服器和用戶端有所區分,還可區分内網主機和外網主機。
Tstat分析網絡流量并生成三種不同類型的測量集合:直方圖,輪循排程資料庫和日志檔案。
Tstat支援在Linux系統(目前為Ubuntu,Debian,RedHat和CentOS)和Mac OS X(從10.6 Snow Leopard到目前的10.11 El Capitan)上測試。
CapAnalysis是一款有效的網絡流量分析工具,适用于資訊安全專家,系統管理者和其他需要分析大量已捕獲網絡流量的人員。CapAnalysis通過索引PCAP檔案的資料集,執行并将其内容以多種形式轉化,從包含TCP,UDP或ESP流的清單,到将其連接配接以地理圖形的方式表示出來。可安裝部署到debian32/64位,Ubuntu32/64位系統。
Xplico的目标是提取網際網路流量并捕獲應用資料中包含的資訊。解碼控制器,IP/網絡解碼器,程式集和可視化系統構成了一個完整的Xplico系統。該系統支援對HTTP,SIP,IMAP,POP,SMTP,TCP,UDP,IPv6等協定的分析。
如下是這七種工具在功能和使用方面的比較,大家可根據工具的特點,将這些工具應用于實際分析中。
功能對比
WireShark
Tcptrace
QPA
Tstat
CapAnalysis
Xplico
可分析離線封包
√
支援實時資料處理
×
流量可視分析
可檢視内容特征
可辨別目标IP的地理位置
監控特定媒體流量
過濾封包功能
界面風格
視窗應用
指令行界面
視窗應用
Web
實時資料采集源
PC 硬體或者資料采集卡
基于程序
運作環境
Windows/Linux
Linux
Windows
Linux/Mac OS/Android
Linux
Linux
參考文獻
本文轉自 技術花妞妞 51CTO部落格,原文連結:http://blog.51cto.com/xiaogongju/2068532