获取流量数据信息工具(网络流量嗅探

在对互联网用户行为分析和异常行为检测的研究中，协议识别和特征提取是网络流量特征分析的重要技术手段。这里介绍了几种常用的网络流量特征提取工具。

一、WireShark

WireShark是常用的网络数据包分析工具。该软件可以在线剪切各种网络数据包，显示网络数据包的详细信息，还可以分析通过tcpdump/Win Dump、WireShark等收集的消息数据等现有的消息数据WireShark提供了各种用于进行消息过滤的过滤规则。使用者利用该工具的分析功能，可以获取多种网络数据特征。

下载地址： https://www.wireshark.org/

二、Tcptrace

Tcptrace是分析TCP流量数据文件的工具，其输入基于tcpdump、snoop、etherpeek、HPNet Metrix、WinDump等各种消息捕获程序进行输出使用Tcptrace，可以为每个通信连接获取各种信息，包括持续时间、字节数、发送和接收的片段、重发和往返时间。此外，还可以生成许多图形以用于用户的后续分析。

下载地址： http://www.tcptrace.org /索引. shtml

三、QPA

QPA是一种基于开源过程捕获的实时流量分析软件。可以基于其进程抓取的优点实时准确地判断各个分组所属的进程，可以基于正则表达式约定提取IP、端口、消息长度和内容等维度特征； QPA按流量类型自动分类，分析简单，优于基于一个会话的分析模式。

下载地址： http://git.oschina.net/QI elige /开放通道

四、Tstat

Tstat是在第三软件Tcptrace的基础上进一步开发的，可以通过普通PC硬件或数据采集卡进行在线消息数据收集。此外，Tstat还分析现有的数据消息，支持多种dump格式，包括libpcap库支持的格式。双向TCP流分析提供了新的统计特征，如拥塞窗口大小、无序片段等。这些信息通过服务器和客户端进行区分，而内部网和外部网的主机也进行区分。

Tstat分析网络流量，生成直方图、循环调度数据库和日志文件三种测量集。

Tstat支持在Linux系统(现在为Ubuntu、Debian、RedHat、CentOS ) 10.6 Snow Leopard到现在的10.11 EL容量)上进行测试。

下载地址： http://tstat.tlc.polito.it/

五、cap分析

CapAnalysis是一种有效的网络流量分析工具，适用于信息安全专家、系统管理员和其他需要分析大量捕获的网络流量的人。通过对PCAP文件中的数据集建立索引，CapAnalysis可以执行这些连接，从包含TCP、UDP或ESP流的列表到以地理图形表示它们的内容，并以各种形式进行转换安装可以部署在debian32/64位、Ubuntu32/64位系统上。

地址：3http://www.cap分析. net/CA /

六、Xplico

Xplico的目标是提取互联网流量，捕获APP数据中包含的信息。解码控制器、IP/网络解码器、汇编和可视化系统构成了完整的Xplico系统。该系统支持对HTTP、SIP、IMAP、POP、SMTP、TCP、UDP、IPv6等协议的分析。

下载地址： http://www.XP lico.org/archives/14

以下是这7种工具的功能和使用方面的比较，大家可以根据工具的特点，将这些工具应用到实际分析中。

在功能比较wiresharktcptraceqpatstatcapanalysisxplico中，支持离线消息实时数据处理流量可见性分析可显示内容的特征对特定媒体流量的监测。界面窗口应用webweb实时数据采集源PC硬件或数据采集卡基于工艺的PC硬件或数据采集卡 PC硬件或数据采集卡运行环境windows/linuxlinuxwinning