六种常用的流量特征提取网络工具 _网络工具

1、WireSharkWireShark是一款常见的网络数据包分析工具。该软件可以在线截取各种网络封包，显示网络封包的详细信息，也可分析已有的报文数据，如由 tcpdump/Win Dump、WireShark 等采集的报文数据。WireShark 提供多种过滤规则，进行报文过滤。使用者可借助该工具的分析功能，获取多种网络数据特征。

文章插图

2、TcptraceTcptrace是一款分析TCP流量数据文件的工具，它的输入包括多种的基于报文采集程序输出的文件，如tcpdump，snoop，etherpeek，HPNet Metrix和WinDump 。使用Tcptrace可以获得每个通信连接的各种信息，包括：持续时间，字节数，发送和接收的片段，重传，往返时间等，也可以生成许多图形，用于使用者的后续分析。

文章插图

3、QPAQPA是一款开源的基于进程抓包的实时流量分析软件。其基于进程抓包的优势，能够实时准确判定每个包所属进程，基于正则表达式书写规则，能提取IP、端口、报文长度与内容等维度特征;QPA按流量类型自动归类，分析简便，优于基于一条条会话的分析模式。

文章插图

4、TstatTstat是在第三款软件Tcptrace的基础上进一步开发而来，可以在普通 PC 硬件或者数据采集卡进行在线的报文数据采集。除此之外，Tstat 还可分析已有的数据报文，支持各种dump格式，如 libpcap 库支持的格式等。双向的 TCP 流分析可得到新的统计特征，如阻塞窗口大小、乱序片段等，这些信息在服务器和客户端有所区分，还可区分内网主机和外网主机。

文章插图
【六种常用的流量特征提取网络工具】
Tstat分析网络流量并生成三种不同类型的测量集合：直方图，轮循调度数据库和日志文件。

文章插图

文章插图

Tstat支持在linux系统(目前为Ubuntu，Debian，RedHat和centos)和mac OS X(从10.6 Snow Leopard到目前的10.11 El Capitan)上测试。
5、CapAnalysisCapAnalysis是一款有效的网络流量分析工具，适用于信息安全专家，系统管理员和其他需要分析大量已捕获网络流量的人员。CapAnalysis通过索引PCAP文件的数据集，执行并将其内容以多种形式转化，从包含TCP，UDP或ESP流的列表，到将其连接以地理图形的方式表示出来。可安装部署到debian32/64位，Ubuntu32/64位系统。