qiuchi1975的博客

一、问题描述最近在做一个机器学习项目的时候，作者遇到了一个棘手的问题。手里只有最原始的用wireshark捕获到的pcap数据包，虽然有几十个G，但是不经过处理再多的数据也是无用的。虽然wireshark可以直接另存文件为csv，但保存下来的特征仅仅就是普通的时间、源地址、目的地址、信息这些特征，仅凭这些特征根本无法用作机器学习的训练。最好的数据集应该是类似KDD99那般，数据特征多，可用性强。作者也是千方百计的寻找，网上也没有一个明确的教程说明如何自己预处理pcap包。但最终作者还是找到了一个神

最近在使用tshark的时候，想要通过- e 参数来指定输出到文件的特征。但是tshark的官方文档并没有详细说明 -e 后面可以使用哪些 特征。只是简单的举了几个例子，如tco.sport 等等。博主原来是想利用 tshark 将 pcap 数据包转换成 csv 文件用来做机器学习的，但使用 -e 命令筛选想要的特证的时候却遇到了问题。我并不知道我可以输出哪些特征，而且参数命令的特征缩写与wireshark中所看到的并不一样。我也是在网上翻来覆去看了看了好多文章，并没有一篇有相关的介绍。后来