CN112966261A

CN112966261A - 一种轻量级可拓展的网络流量特征提取工具和方法

Info

Publication number: CN112966261A
Application number: CN202110249037.8A
Authority: CN
Inventors: 张微; 雷军; 牛翔; 王媛娣
Original assignee: Zhongdian Jizhi Hainan Information Technology Co Ltd
Current assignee: Zhongdian Jizhi Hainan Information Technology Co Ltd
Priority date: 2021-03-08
Filing date: 2021-03-08
Publication date: 2021-06-15

Abstract

本发明公开了一种轻量级可拓展的网络流量特征提取工具，包括提取工具本体，所述提取工具本体包括两种提取特征模式，两种所述提取特征模式分别是按流提取的flow模式和按pcap文件提取的file模式，在flow模式下，输入的流量将按照五元组分流并分别按流进行特征提取，在file模式下，工具将对每个pcap文件中的流量视为一个整体进行特征提取，在特征提取的过程中，根据数据包的方向可以划分为上行、下行和双向三类，涉及网络流量深度分析‑流量特征提取技术领域。该轻量级可拓展的网络流量特征提取工具安装及运行方便，可以自动化的提取流量的特征，能够在不对源码修改的前提下，通过编写特征计算函数及修改特征配置文件，做到动态的增减特征。

Description

一种轻量级可拓展的网络流量特征提取工具和方法

技术领域

本发明涉及网络流量深度分析-流量特征提取技术领域，具体为一种轻量级可拓展的网络流量特征提取工具和方法。

背景技术

随着互联网的快速发展，网络数据量急速增长，各类新的协议不断出现，截止2019年10月，互联网中的加密流量占全部流量的比例已经超过90％，并且随着越来越多的恶意软件出现，对恶意流量进行识别，并对当前网络态势进行评估成为了一个新的挑战，目前在学术和业界上都已应用机器学习和深度学习的方法尝试对流量进行分类，为了能更好的分析互联网中的流量，就需要将每一条流进行识别并分析其特征，目前比较流行的流量分析工具有Wireshark，Tcptrace等，可以方便的对流量进行解析，并可视化的展示流量的特征。

加拿大网络安全研究室基于Java开发了自动化流量特征提取工具CICFlowMeter，但由于Java语言本身的限制，该工具不够轻量，且由于难以对提取的特征进行拓展，仅能提取工具预先好定义的特征，拓展性不足。

发明内容

(一)解决的技术问题

针对现有技术的不足，本发明提供了一种轻量级可拓展的网络流量特征提取工具，解决了自动化流量特征提取工具CICFlowMeter不够轻量且拓展性不足的问题。

(二)技术方案

为实现以上目的，本发明通过以下技术方案予以实现：一种轻量级可拓展的网络流量特征提取工具，包括提取工具本体，所述提取工具本体包括两种提取特征模式，两种所述提取特征模式分别是按流提取的flow模式和按pcap文件提取的file模式；

在flow模式下，输入的流量将按照五元组分流并分别按流进行特征提取；

在file模式下，工具将对每个pcap文件中的流量视为一个整体进行特征提取；

在特征提取的过程中，根据数据包的方向可以划分为上行、下行和双向三类。

进一步地，拥有相同五元组的数据包属于同一条流。

进一步地，在flow模式下，每一条流都会作为一条记录输出相应的特征。

进一步地，在file模式下，每一个文件会作为一条记录输出特征，并记录流的数目。

进一步地，每一条记录仅在最后获取到完整流量后计算一次，而非来一个数据包计算一次。

进一步地，在此定义数据包由客户端发往服务器的方向为上行，由服务器发往客户端则是下行。

进一步地，确定服务器和客户端的原则，优先在TCP流中发起连接建立的一方为客户端；若捕获的流量不完整，没有捕获到握手包，则IP地址为私有IP的一方是客户端，包含三类：

a)10.0.0.0-10.255.255.255，

b)172.16.0.0-172.31.255.255，

c)192.168.0.0-192.168.255.255。

进一步地，若通信双方的IP均为私有IP或者均为公有IP，则端口号大的一方为客户端，端口号小的一方为服务器；若端口号相同，则依次比较双方IP地址的各域的大小，较大的一方为客户端。

进一步地，所述五元组分别为传输层协议、源IP、源端口、目的IP和目的端口。

一种轻量级可拓展的网络流量特征提取方法，包括以下步骤：

S1在file模式时，按文件提取特征，在此模式下允许批量读取pcap文件进行分析，而单线程下处理大量文件的处理效率将极为低下，所以工具默认开启多进程模式；

S2本工具将根据CPU的线程数创建多个子进程同时对不同的pcap文件进行解析，最后主进程负责将每个子进程提取的特征结果进行合并；

S3用户能够在配置文件中选择是否关闭多进程，以及设置最多同时运行的进程数目；

S4在flow模式时，按流提取特征，本模式能够在离线模式下读取pcap文件，或在线模式下读取指定网卡的流量，流量会被按照五元组分流，然后对流进行特征提取，每一条流都作为一条记录输出特征值；

S5当一条流结束或pcap文件读取完毕时流仍未结束，工具会立即输出该流的特征，考虑到有些流持续时间较长，但已经可以根据已有的数据包获取其特征值，所以允许用户设置特征提取最大所需包的数目，默认为无穷大，当该流已经获取到了足够的数据包时，将立即计算该流的特征，并不再考虑后续到来的数据包；

S6同样，有些流由于过短，提取出的特征没有实际意义，用户可以设置特征提取所需最少包数目，默认为1，来过滤掉没有实际意义的流量。

(三)有益效果

本发明具有以下有益效果：

该轻量级可拓展的网络流量特征提取工具，通过基于Python开发，安装及运行方便，可以自动化的提取流量的特征，目前已有的特征提取工具仅能提取预先设置好的特征，如果要加新的特征时则需要对原始代码进行修改并重新编译，工作量较大，而本工具的拓展性较强，预留了定义特征的接口，能够在不对源码修改的前提下，通过编写特征计算函数及修改特征配置文件，做到动态的增减特征。

当然，实施本发明的任一产品并不一定需要同时达到以上所述的所有优点

附图说明

图1为本发明提供的轻量级可拓展的网络流量特征提取工具的***图；

图2为本发明提供的轻量级可拓展的网络流量特征提取工具的特征计算逻辑；

图3为本发明提供的特征说明表格。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的描述中，需要理解的是，术语“开孔”、“上”、“下”、“厚度”、“顶”、“中”、“长度”、“内”、“四周”等指示方位或位置关系，仅是为了便于描述本发明和简化描述，而不是指示或暗示所指的组件或元件必须具有特定的方位，以特定的方位构造和操作，因此不能理解为对本发明的限制。

请参阅图1-3，本发明实施例提供一种技术方案：

一种轻量级可拓展的网络流量特征提取工具包括提取工具本体，所述提取工具本体包括两种提取特征模式，两种所述提取特征模式分别是按流提取的flow模式和按pcap文件提取的file模式；在flow模式下，输入的流量将按照五元组分流并分别按流进行特征提取；在file模式下，工具将对每个pcap文件中的流量视为一个整体进行特征提取；在特征提取的过程中，根据数据包的方向可以划分为上行、下行和双向三类。

功能为从网络流量中提取不同角度的特征，工具内置了72种常见特征的计算方法，也提供了拓展接口用于自定义提取更多的特征，提取的特征可以用于对网络状况进行深度分析和构建机器学习所需的数据集等。

工具基于python的scapy库开发，用户在使用前需确保电脑中已安装Python3，以及第三方库scapy，在运行本工具前，需修改配置文件指定目标pcap文件或包含pcap文件的目录，pcap文件可以通过wireshark或tcpdump等捕包软件在指定网卡捕获，并在配置文件中指定运行模式，file/flow模式，默认为flow模式,最后程序的输出是一份csv格式的文件，其中表头为各特征的特证名，每一列代表一维特征，每一行代表一条记录。

Scapy是一个功能强大的基于Python的交互式数据包操作工具和库，支持Python2.7和Python3(3.3-3.6)，可运行在Linux、OSX、Windows等不同平台上，可用于读取网络流量包和监听网卡流量。

file模式：

按文件提取特征，目前有许多流量数据集，已经将各类软件的流量分别存储为独立的pcap文件，每个pcap文件中仅包含一个流，即其中所有的数据包都属于相同的五元组，此时数据集中可能会有大量的pcap文件，每个pcap文件会代表某一类软件特定的行为，另一种情况是每个pcap文件保存的是来自某一个主机的流量，用户需要对每个主机的网络行为进行分析并提取流量特征，在这两种情况下，需要使用file模式对pcap文件整体进行特征提取。

在file模式下，每一个pcap文件将直接作为目标进行分析，工具将输出关于此pcap文件的流量统计特征，其csv文件的表头的格式为：

pcap_name

flow_num

特征1

特征2

....

特征N

pcap_name为pcap文件名，flow_num是指在该pcap中发现的拥有不同四元组的流数目，后续则为提取的特征值。

flow模式设计：

按流提取特征，现实情况下，通过wireshark或tcpdump等软件捕获的pcap文件一般会包含多台主机的不同进程产生的流量，此时就需要本模式能够在离线模式下读取pcap文件，或在线模式下读取指定网卡的流量，流量会被按照五元组分流，然后对流进行特征提取，每一条流都作为一条记录输出特征值，csv格式的表头为：

protocol

src

sport

dst

dport

特征1

特征2

....

特征N

。

提取工具本体默认提取的特征种类有数据包到达时间间隔、数据包数目、拥塞窗口大小、数据包长度、每秒数据包数目、速率、数据包头部长度、持续时间、标志位计数等，其中个别特征会分别计算其上下行流量和双向流量的总和、平均值、最小值、最大值、标准差，最后一共72个特征。

其中特征名称中的*代指括号里的内容，例如fpl_*代表fpl_total,fpl_mean,fpl_min,fpl_max,fpl_std分别是上行流中数据包到达时间间隔的总和、平均值、最小值、最大值、标准差。

标志位计数是指对TCP数据包中八个标志位(fin,syn,rst,pst,ack,urg,cwr,ece)出现的次数进行统计，八个特征名称分别是fin_cnt、syn_cnt、rst_cnt、pst_cnt、ack_cnt、urg_cnt、cwr_cnt、ece_cnt，在表格中以*_cnt指代；

对于上行、下行的流量，只对pst、urg标志位字段出现的次数进行统计，分别为fwd_pst_cnt、fwd_urg_cnt、pwd_pst_cnt、pwd_urg_cnt四个特征，在表格中分别以fwd_*_cnt和pwd_*_cnt指代。

拥有相同五元组的数据包属于同一条流。

在flow模式下，每一条流都会作为一条记录输出相应的特征。

在file模式下，每一个文件会作为一条记录输出特征，并记录流的数目。

每一条记录仅在最后获取到完整流量后计算一次，而非来一个数据包计算一次。

在此定义数据包由客户端发往服务器的方向为上行，由服务器发往客户端则是下行。

确定服务器和客户端的原则，优先在TCP流中发起连接建立的一方为客户端；若捕获的流量不完整，没有捕获到握手包，则IP地址为私有IP的一方是客户端，包含三类：

a)10.0.0.0-10.255.255.255，

b)172.16.0.0-172.31.255.255，

c)192.168.0.0-192.168.255.255。

若通信双方的IP均为私有IP或者均为公有IP，则端口号大的一方为客户端，端口号小的一方为服务器；若端口号相同，则依次比较双方IP地址的各域的大小，较大的一方为客户端。

所述五元组分别为传输层协议、源IP、源端口、目的IP和目的端口。

特征动态扩展：

本工具拥有一定的可拓展性，其预留了自定义特征的接口，只需编写相应的特征计算函数，函数中每一个数据包的处理规则参照第三方开源库scapy，然后在特征配置文件中添加新的特征名、要调用的计算函数、函数所需要的流，上行流、下行流、双向流以及函数返回值的序号。

例如以下为某个新增特征的示例，总共得到来自三个方向共6个特征。特征计算函数的输入值为流的有序列表，返回值为提取出的特征。

def get_new_feature(flow):

...

return[feature1,feature2]。

在特征配置文件中添加相应的记录。

如下所示，第一个参数为特征名，可以由用户任意定义，也是后续输出csv的表头，我们一共定义了六个特征，分别名为f_feature1,f_feature2,b_feature1,b_feature2,d_feature1,d_feature2。第二个是计算该特征要调用的函数，这里所有新定义的特征都调用get_new_feature函数；

第三个参数是计算该特征所用的流的方向，fwd_flow,bwd_flow,all_flow分别代表上行流、下行流、双向流；

第四个参数是指获取该函数的第几个返回值，因为get_new_feature函数返回两个特征值，所以每个特征分别获取第1，2个返回值。

f_feature1 get_new_feature fwd_flow1，

f_feature2 get_new_feature fwd_flow2，

b_feature1 get_new_feature bwd_flow1，

b_feature2 get_new_feature bwd_flow 2，

d_feature1 get_new_feature all_flow1，

d_feature2 get_new_feature all_flow 2。

本工具基于Python开发，安装及运行方便，可以自动化的提取流量的特征，目前已有的特征提取工具仅能提取预先设置好的特征，如果要加新的特征时则需要对原始代码进行修改并重新编译，工作量较大，而本工具的拓展性较强，预留了定义特征的接口，能够在不对源码修改的前提下，通过编写特征计算函数及修改特征配置文件，做到动态的增减特征。

使用时：

在file模式时，按文件提取特征，在此模式下允许批量读取pcap文件进行分析，而单线程下处理大量文件的处理效率将极为低下，所以工具默认开启多进程模式；

本工具将根据CPU的线程数创建多个子进程同时对不同的pcap文件进行解析，最后主进程负责将每个子进程提取的特征结果进行合并；

用户能够在配置文件中选择是否关闭多进程，以及设置最多同时运行的进程数目；

在flow模式时，按流提取特征，本模式能够在离线模式下读取pcap文件，或在线模式下读取指定网卡的流量，流量会被按照五元组分流，然后对流进行特征提取，每一条流都作为一条记录输出特征值；

当一条流结束或pcap文件读取完毕时流仍未结束，工具会立即输出该流的特征，考虑到有些流持续时间较长，但已经可以根据已有的数据包获取其特征值，所以允许用户设置特征提取最大所需包的数目，默认为无穷大，当该流已经获取到了足够的数据包时，将立即计算该流的特征，并不再考虑后续到来的数据包；

同样，有些流由于过短，提取出的特征没有实际意义，用户可以设置特征提取所需最少包数目，默认为1，来过滤掉没有实际意义的流量。

需要说明的是，在本文中，诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节，也不限制该发明仅为所述的具体实施方式。显然，根据本说明书的内容，可作很多的修改和变化。本说明书选取并具体描述这些实施例，是为了更好地解释本发明的原理和实际应用，从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims

1.一种轻量级可拓展的网络流量特征提取工具，包括提取工具本体，其特征在于：所述提取工具本体包括两种提取特征模式，两种所述提取特征模式分别是按流提取的flow模式和按pcap文件提取的file模式；

2.根据权利要求1所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：拥有相同五元组的数据包属于同一条流。

3.根据权利要求2所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：在flow模式下，每一条流都会作为一条记录输出相应的特征。

4.根据权利要求3所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：在file模式下，每一个文件会作为一条记录输出特征，并记录流的数目。

5.根据权利要求4所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：每一条记录仅在最后获取到完整流量后计算一次，而非来一个数据包计算一次。

6.根据权利要求1所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：在此定义数据包由客户端发往服务器的方向为上行，由服务器发往客户端则是下行。

7.根据权利要求1所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：确定服务器和客户端的原则，优先在TCP流中发起连接建立的一方为客户端；若捕获的流量不完整，没有捕获到握手包，则IP地址为私有IP的一方是客户端，包含三类：

a)10.0.0.0-10.255.255.255，

b)172.16.0.0-172.31.255.255，

c)192.168.0.0-192.168.255.255。

8.根据权利要求7所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：若通信双方的IP均为私有IP或者均为公有IP，则端口号大的一方为客户端，端口号小的一方为服务器；若端口号相同，则依次比较双方IP地址的各域的大小，较大的一方为客户端。

9.根据权利要求1所述的一种轻量级可拓展的网络流量特征提取工具，其特征在于：所述五元组分别为传输层协议、源IP、源端口、目的IP和目的端口。

10.一种轻量级可拓展的网络流量特征提取方法，其特征在于，包括以下步骤：