网络流量pcap包特征提取并保存

于 2023-05-06 16:08:13 发布
阅读量5k 收藏 33
点赞数 14
文章标签: python 开发语言 网络 wireshark
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_47272625/article/details/130527575
版权

前言

新手写博客,写博客主要目的是为了记录自己做项目的一些过程。关于网络流量项目,刚开始做项目一个月左右,所写的博客必然有很多不足的地方,欢迎大家交流和指教。

获取pcap包

pcap包特征提取第一步是要获得pcap包。pcap一般有两种获取方式,一种是下载开源的数据集,另外一种是通过自己抓包获得。

开源流量数据集有很多。这里贴一个博主总结的网络流量领域公开数据集
抓包一般可以通过wireshark工具实现。在抓包的时候由于我需要获取网络流量client_hello的部分这里用了wireshark自带的过滤器来提取。

由于我需要client_hello的部分在黄色框的地方输入ssl.handshake.type == 1既可以获得有关于client_hello的数据包,然后再导出即可。
在这里插入图片描述

基于flowcontainer的特征提取

这里我在提取网络流量特征提取的时候采用了flowcontainer的库,在提取特征的时候有尝试过例如pyshark之类的库,比较用起来觉得flowcontainer方便。查阅了一些资料说是flowcontainer在速度上会比较慢,但是博主没有尝试过,大家可以自己选择。

安装flowcontianer,在自己对应环境下输入即可。

pip install flowcontainer -i https://pypi.douban.com/simple/

这里说一下自己个人在安装和使用中碰到的问题:

(1)确保环境变量有tshark的环境,这里没有配置过的,搜索下如何配置环境变量,各个环境变量配置方法基本一致。在这里插入图片描述
(2)如果在编译器(博主是pycharm)运行记得启用管理者模式否则会出现以下报错,当时博主找了N久,才de出这个bug。

OSError: tshark is not installed or added to environment path.

其他有关于该库安装和使用的问题可以参考这篇博客。当时我学习这个库主要参考了这个博主的文章。

我自己使用这个库是为了获得有关网络流量中payload_length,time_delta,以及packet_length和sni的特征。这里上代码。extension可以自己选择想要提取的特征,如果想要提取别的特征参考上面超链接博客。

from flowcontainer.extractor import extract
result = extract(r"D:\Apaper\pyproje\pyproje\client-hello.pcap",filter='',extension=['tls.handshake.extensions_server_name','frame.time_delta','frame.cap_len'])

payload_length =[]  #total payload_length
time_delta=[]       #total time_delta
packet_length=[]    #total packet_length
sni = []            #total sni

for key in result:
    value = result[key]

    payload_length.append(value.payload_lengths[0])#save total payload_length
    time_delta.append((value.extension['frame.time_delta'][0])[0])#save total time_delta
    packet_length.append((value.extension['frame.cap_len'][0][0]))#save total packet_length

    if ('tls.handshake.extensions_server_name' in value.extension):#一些没有sni的client_hello数据包用NULL先暂时替代
        sni.append((value.extension['tls.handshake.extensions_server_name'][0])[0])#save total sni
    else:
        sni.append('NULL')  

#删除没有sni的pcap
for i in range (len(sni)-1,-1,-1):
    if sni[i] =='NULL':

        payload_length.pop(i)
        packet_length.pop(i)
        sni.pop(i)
        time_delta.pop(i)

print(payload_length)
print(time_delta)
print(packet_length)
print(sni)
print('\n')

这里我以列表的形式储存了特征。之所以有删除没有sni的pcap这个步骤,是因为我使用wireshark过滤后的client_hello包没有sni标志。具体原因不太理解,如果有懂的可以评论区说下。输出的结果如下
在这里插入图片描述

然后使用保存储存到excel就可以了,完整代码,两部分直接合并修改路径即可运行。

import xlwt
f = xlwt.Workbook('encoding = utf-8') #设置工作簿编码
sheet1 = f.add_sheet('sheet1',cell_overwrite_ok=True) #创建sheet工作表
sheet1.write(0,0,'sni')
sheet1.write(0,1,'payload_length')
sheet1.write(0,2,'packet_length')
sheet1.write(0,3,'time_delta')
for i in range(len(sni)):
    sheet1.write(i+1,0,sni[i]) #写入对应数据
    sheet1.write(i+1,1,payload_length[i])
    sheet1.write(i+1,2,packet_length[i])
    sheet1.write(i+1,3,time_delta[i])

f.save('text.xls')#保存.xls到当前工作目录

最终结果图

在这里插入图片描述

Hu-Hhq
关注
python处理pcap文件——数据提取
weixin_43345082的博客
04-09 9997
pcap文件中每个进行内容提取,提取出pcap头每个header和data部分,存入txt 这是对网上的一份代码的优化修改 #!/usr/bin/env python #coding=utf-8 #读取pcap文件,解析相应的信息,为了在记事本中显示的方便,把二进制的信息 import struct import time, datetime def time_trans(GMTtime...
PCAP(Packet Capture)
最新发布
Rhett_Butler0922的博客
04-25 834
PCAP(Packet Capture)是一种标准文件格式,用于存储捕获的网络数据。它广泛应用于网络分析、监控和安全领域,常由工具如Wireshark、tcpdump生成。PCAP文件记录了网络数据的原始数据及其元数据(如捕获时间、长度),便于离线分析。
python保存pcap文件解析的实例
01-20
首先是抓,使用scapy模块, sniff()函数 在其中参数为本地文件路径时,操作为打开本地文件 若参数为BPF过滤规则和回调函数,则进行Sniff,回调函数用于对Sniff到的数据进行处理 import os from scapy.all import * pkts=[] count=0 pcapnum=0\nfilename='' def test_dump_file(dump_file): print Testing the dump file... if os.path.exists(dump_file): print dump fie %s found.
六种常用的网络流量特征提取工具
weixin_33725270的博客
11-12 5311
六种常用的网络流量特征提取工具 在互联网用户行为分析和异常行为检测的相关研究中,协议识别和特征提取网络流量特征分析的重要技术手段。下面,本文为大家介绍几款常用的网络流量特征提取的工具。 一、WireShark WireShark是一款常见的网络数据分析...
流量预处理-1:特征提取
qq_45125356的博客
03-09 3590
看着博客[flowcontainer]()的感觉很好,但是有如下缺陷:处理大文件费内存,关于数据集ISCX2016中的FT类型一个pcap动则就是5个多G,吃不消设置extension字段提取tcp与udp有效负载时,对于上述的大文件处理特别慢!!!原因是加载所有数据进入内存,但是实际预处理只需要前几个的有效载荷数据,造成内存大开销!红色圈圈是加上的代码,加上后就不会出现致命异常但是依旧是慢!在处理大文件的pcap特别费劲!等个几个小时才读取完!
pcap流量中提取文件的五种方法
l8947943的博客
07-07 1万+
找到一个pcap流量文件,使用如下命令,即可提取数据中的文件。 2. 安装NetworkMiner 下载地址:http://sourceforge.net/projects/networkminer/files/latest/download 下载后,使用该软件打开pcap文件,提取文件即可。 安装完成后,使用如下命令: 4. 安装chaosreader 这个我还没测试过,先插眼,玩意后面需要使用。 工具地址:https://github.com/brendangregg/Chaosreader 使用如下命
使用CIC Flowmeter提取流量特征
weixin_49227503的博客
11-26 1万+
使用CICFlowMeter 提取流量特征 一、安装winpcap 下载链接:https://www.winpcap.org/ 下载后直接安装 二、启动CICFlowMeter 使用IDEA打开github项目:https://github.com/ahlashkari/CICFlowMeter.git 开启一个终端,进入到*/CICFlowMeter\jnetpcap\win\jnetpcap-1.4.r1425路径下,执行命令: mvn install:install-file -Dfile=jnetp
利用scapy等模块进行流量的抓取保存pcap文件
08-19
利用scapy等模块进行流量的抓取保存pcap文件,过滤语法为BPF
基于五元组分流提取流量特征 机器学习中对加密流量进行分类
06-05
五元组是网络流量分析的基本元素,它括源IP、目标IP、源端口、目标端口和传输协议(TCP或UDP)。通过对这些数据的分析,我们可以揭示网络活动的模式,进一步识别潜在的安全威胁。 首先,我们需要理解流量特征的...
python scapy 抓_python保存pcap文件解析的实例
weixin_39626369的博客
12-02 2817
首先是抓,使用scapy模块,sniff()函数 在其中参数为本地文件路径时,操作为打开本地文件若参数为BPF过滤规则和回调函数,则进行Sniff,回调函数用于对Sniff到的数据进行处理import osfrom scapy.all import *pkts=[]count=0pcapnum=0filename=''def test_dump_file(dump_file):print "T...
flowcontainer: 基于python3的pcap网络流量特征信息提取库
热门推荐
jmhIcoding
07-06 2万+
库介绍 flowcontainer是本人编写的基于python3的网络流量基本信息提取库,方便做加密网络流量的分类任务。给定pcap文件,该库会提取pcap所有的流的相关信息,其中流信息括:流的源端口、源IP、目的IP、目的端口、IP数据的长度序列、IP数据集的到达时间序列、有效载荷序列以及相应有效载荷的到达时间序列、TLS的SNI。库会对IP数据做过滤,那些tcp/udp载荷不为0的数据会统计到有效载荷序列里面。工具简单易用,扩展性和复用性高。 库的安装 pip3 install git+http
extractor:python脚本从PCAP提取文件
05-18
该脚本是为将文件从PCAP文件中拉出而设计的(大约需要工作,我花了大约一个小时将它放在一起)。 目前,它将提供.doc文件以外的所有内容作为未知的文件扩展名。 当我发现更多信息时,我会将它们添加到get_extension函数中。 随附的pcap带有“感染”密码。 我不能相信它,我只是将其用作测试功能,但它来自恶意软件-traffic-analysis.net (感谢您的PCAP)。 如果您还有其他pcaps,请尝试告诉我。 我还没有尝试过将其拉出文本文档,但仍将其放在我要做的事情上。
含物联网协议modbus的pcap流量
05-30
含物联网协议modbus流量pcap,可通过wireshark打开后,直接用modbus进行过滤。(注意使用新版wireshark
tftp.pcap 分析学习tftp协议所用的流量
12-17
分析学习tftp协议所用的流量
PCAP文件的解析软件
07-12
具备WIRESHARK的大部分功能,主要是指针的偏移来完成的。对初学者有一定的帮助。
含物联网协议modbus流量pcap
05-30
含物联网协议modbus流量pcap,可通过wireshark打开后,直接用modbus进行过滤。(注意使用新版wireshark
pcap文件提取IPv6的flow数据
临安雨潇
08-19 2048
#参考链接http://www.th7.cn/Program/Python/201403/180630.shtml # _*_ coding:UTF-8 _*_ import win32api import win32con import win32gui import time import webbrowser from ctypes import * import time VK_CODE =
MISC:流量取证(pcap文件修复、协议分析、数据提取)
小哈里的博客
09-21 5222
鼠标协议:每一个数据的数据区有四个字节,第一个字节代表按键,当取 0x00 时,代表没有按键、为 0x01 时,代表按左键,为 0x02 时,代表当前按键为右键。第二个字节可以看成是一个 signed byte 类型,其最高位为符号位,当这个值为正时,代表鼠标水平右移多少像素,为负时,代表水平左移多少像素。HTTPs = HTTP + SSL / TLS. 服务端和客户端的信息传输都会通过 TLS 进行加密,所以传输的数据都是加密后的数据。但是,如果采用主动模式,那么数据传输端口就是 20;
模拟网络流量特征的自动提取(第一次大致算法框架)
IWBE的专栏
08-13 1604
LGhher
使用pcap捕捉网络数据
study_together的专栏
12-20 3201
说明:正在边学习边整理,主要是运行一下文档中提供的示例程序,如果有需要学习使用pcap,建议直接阅读winpcap文档。资料:1、WinPcap文档:http://www.winpcap.org/  2、google、baidu环境:windows环境:vs2008、windows7、WpdPack_4_1_2linux环境:(现在只有windows上的运行结果,linux上运行情况以后补充。)准备:libpcap、WinPcap是用于抓取网络数据的函数库。libpcap是Unix上的实现,WinPcap
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值