六種常用的網路流量特徵提取工具

在互聯網用戶行為分析和異常行為檢測的相關研究中，協議識別和特徵提取是網路流量特徵分析的重要技術手段。下面，本文為大家介紹幾款常用的網路流量特徵提取的工具。

一、WireShark

WireShark是一款常見的網路數據包分析工具。該軟體可以在線截取各種網路封包，顯示網路封包的詳細信息，也可分析已有的報文數據，如由tcpdump/Win Dump、WireShark 等採集的報文數據。WireShark提供多種過濾規則，進行報文過濾。使用者可藉助該工具的分析功能，獲取多種網路數據特徵。

下載地址：https://www.wireshark.org/

二、Tcptrace

Tcptrace是一款分析TCP流量數據文件的工具，它的輸入包括多種的基於報文採集程序輸出的文件，如tcpdump，snoop，etherpeek，HPNetMetrix和WinDump。使用Tcptrace可以獲得每個通信連接的各種信息，包括：持續時間，位元組數，發送和接收的片段，重傳，往返時間等，也可以生成許多圖形，用於使用者的後續分析。

下載地址：http://www.tcptrace.org/index.shtml

三、QPA

QPA是一款開源的基於進程抓包的實時流量分析軟體。其基於進程抓包的優勢，能夠實時準確判定每個包所屬進程，基於正則表達式書寫規則，能提取IP、埠、報文長度與內容等維度特徵；QPA按流量類型自動歸類，分析簡便，優於基於一條條會話的分析模式。

下載地址：http://git.oschina.net/qielige/openQPA

四、Tstat

Tstat是在第三款軟體Tcptrace的基礎上進一步開發而來，可以在普通 PC硬體或者數據採集卡進行在線的報文數據採集。除此之外，Tstat 還可分析已有的數據報文，支持各種dump格式，如 libpcap庫支持的格式等。雙向的 TCP流分析可得到新的統計特徵，如阻塞窗口大小、亂序片段等，這些信息在伺服器和客戶端有所區分，還可區分內網主機和外網主機。

Tstat分析網路流量並生成三種不同類型的測量集合：直方圖，輪循調度資料庫和日誌文件。

Tstat支持在Linux系統（目前為Ubuntu，Debian，RedHat和CentOS）和Mac OS X（從10.6Snow Leopard到目前的10.11 El Capitan）上測試。

下載網址：http://tstat.tlc.polito.it/

五、 CapAnalysis

CapAnalysis是一款有效的網路流量分析工具，適用於信息安全專家，系統管理員和其他需要分析大量已捕獲網路流量的人員。CapAnalysis通過索引PCAP文件的數據集，執行並將其內容以多種形式轉化，從包含TCP，UDP或ESP流的列表，到將其連接以地理圖形的方式表示出來。可安裝部署到debian32/64位，Ubuntu32/64位系統。

下載地址: http://www.capanalysis.net/ca/

六、Xplico

Xplico的目標是提取互聯網流量並捕獲應用數據中包含的信息。解碼控制器，IP/網路解碼器，程序集和可視化系統構成了一個完整的Xplico系統。該系統支持對HTTP，SIP，IMAP，POP，SMTP，TCP，UDP，IPv6等協議的分析。

下載地址：http://www.xplico.org/archives/14

如下是這七種工具在功能和使用方面的比較，大家可根據工具的特點，將這些工具應用於實際分析中。