如何自己做一个类似KDD99的数据集(将pcap预处理成csv)

最新推荐文章于 2024-07-06 10:49:22 发布
置顶 最新推荐文章于 2024-07-06 10:49:22 发布
阅读量5.1k 收藏 77
点赞数 11
分类专栏: 日常随笔 入侵检测 文章标签: 机器学习 经验分享 数据挖掘 tensorflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiuchi1975/article/details/106549411
版权

一、问题描述

最近在做一个机器学习项目的时候,作者遇到了一个棘手的问题。

手里只有最原始的用wireshark捕获到的pcap数据包,虽然有几十个G,但是不经过处理再多的数据也是无用的。

虽然wireshark可以直接另存文件为csv,但保存下来的特征仅仅就是普通的时间、源地址、目的地址、信息这些特征,仅凭这些特征根本无法用作机器学习的训练。最好的数据集应该是类似KDD99那般,数据特征多,可用性强。

作者也是千方百计的寻找,网上也没有一个明确的教程说明如何自己预处理pcap包。

但最终作者还是找到了一个神器!那就是Tshark!

这个工具是什么作者就不多啰嗦了,可以自行百度,但只要安装了wireshark一般都是默认安装tshark!

在wireshark安装目录中可以找到一个tshark.exe!

在这里插入图片描述如果没安装过wireshark可以自己下载一个安装,在安装选项里记得勾选安装tshark!

Tshark功能其实有很多,wireshark能做的它基本也都能做,相当于一个命令行般的wireshark!

二、参数介绍

Tshark有自己的官方使用手册,大家可以自行查看各种参数的使用方法!

Tshark官方使用手册

我们这次用到的参数主要是以下几个:

-c <捕获数据包数>
该命令主要用于设置捕获实时数据流量时要读取的最大包数,如果是用于读取捕获文件,该命令也可以设置读取的最大数据包数,如-c 30。
-e <字段>
如果选择了-T 命令,即需要将数据包输出成相应的文件时,则可以通过-e命令将一个字段添加到要显示的字段列表中,当然该命令可以在命令行上多次使用。但是只要选择了-T字段选项,就必须至少提供一个字段。
-E <字段打印选项>
该命令同为辅助参数命令,即选择-T字段时,可以通过-E来控制字段的打印。
常见选项有:
header = y | n,可以理解为打印表头,如果为y,则将打印设置的-e字段为表头。
separator= / t | / s | <字符>,主要用于设置字段分隔符。如/s即为选择空格作为分隔符,若需要自定义分隔符,可以自行选择命令行能够接受的符号。
quote = d | s | n设置引号字符以用于包围字段。d使用双引号,s单引号,n不使用引号(默认值)。
-i | --interface <捕获接口> |
该命令主要用于设置捕获数据包的网络接口名称,具体的接口可以通过-D命令显示输出。
如果未指定接口,则TShark将自动搜索接口列表,并进行相应的选择,一般会首先第一个非环回地址。
该命令可以多次出现。从多个接口捕获时,捕获文件将以pcap格式保存。
-r |-读取文件
通过该命令可以从本地直接读取数据包数据,支持格式较多,可以是任何通用的捕获文件格式(包括压缩文件),如pcap。
-T ek | fields | json |
该命令可以与-e -i等多个命令配合使用,主要用于将实时捕获或从本地读取的pcap文件转换成其他格式,如json或csv文件等。

-e后面可以接你想要的筛选输出的参数,例如tcp.len,time,srcport等等。

具体可以接什么参数,Tshark官方手册也没有明确的说明,作者也是费了好大劲,最后才找到一个折中的办法。

具体方法可以参照作者另一篇文章:

tshark -e 后可以接哪些特征数据名

三、具体命令

话不多说我们直接进入正题!

Windows环境下进入wireshark安装目录,在这里打开cmd,或者直接win+r启动cmd,一路cd进wireshark安装目录。

然后输入下面的命令:

tshark.exe -r E:\attack\111.pcapng -T fields  -e frame.time_delta   -e ip.src -e tcp.len -e icmp -e udp  -e tcp.analysis.flags  -e openflow_v4.type -e openflow_v4.length  -E header=y -E separator=, -E quote=d -E occurrence=f > test.csv

-r后面接路径
-e后面接筛选的特征值
其他参数照我这个就可以

运行完会直接在当前目录下生成转换完成的test.csv文件!

ubantu下命令基本差不多,把.exe去掉即可

tshark -r 111.pcapng -T fields  -e frame.time_delta   -e ip.src -e tcp.len -e icmp -e udp  -e tcp.analysis.flags  -e openflow_v4.type -e openflow_v4.length  -E header=y -E separator=, -E quote=d -E occurrence=f > test.csv

但是ubantu中很多地方涉及到权限问题,作者也是饶了好大一圈才找个一个可行的方法!

直接用root权限在桌面上创建一个文件夹,把要处理的pcap文件用命令移动进去,然后在这个文件夹里运行终端,再使用上述命令代码。不行的话再su一下,切换到root再执行。

如果还有其他问题的话,可以在下面评论区当中给我留言,我会尽力解答!

司徒晟昱
关注
  • 11
    点赞
  • 77
    收藏
    觉得还不错? 一键收藏
  • 14
    评论
专栏目录
pcap文件处理KDD99数据集格式
weixin_39527549的博客
04-02 2944
首先,需要的配置:1  WinPcap2  CMake用到的开源程序:https://github.com/AI-IDS/kdd99_feature_extractor将程序解压后,进入文件目录,右键+shift,进入cmd黑窗口,输入cmake .由于是第一次接触cmake,所以遇到了一些问题,问题描述如下:CMake Error at CMakeLists.txt:2 (project): ...
python解析pcap数据包,再导出csv文件
LMD_BTBU的博客
11-19 9526
因为网络拓扑发现和操作系统识别都是通过wireshark抓取网络上的通信数据包实现的,所以想对wireshark抓取到的pcap数据包进行解析,并且进行网络特性及其具体值的提取,并将其保存csv格式。一个下午的时间,终于让我搞懂原理了。 1、利用SCAPY模块解析pcap数据包 首先,保证python中安装了scapy库,若没有,利用:pip install scapy 来进行安装 其次,在调用...
pcap文件处理为csv文件,并根据协议类型分开保存
08-19
需要三个空白文件夹,一个存放数据包,一个存放解析时的json文件,还有一个存放最终的csv文件,并且最终制数据集的形式
C#与.NET
最新发布
Freesial_的博客
07-06 1003
C#源于C、C++和Java,采二家之所长并增加了自己的新特性。C#是一种基于.net平台的语言,它能让程序员在此平台上很方便的开发.net程序。1、.net的基本概念2、编程环境。
pcap_preprocessor:一个开源工具包库,用于预处理网络流量.pcap数据
04-07
Pcap预处理一个开源工具包库,用于预处理网络流量.pcap数据。 需求前环境 环境要求 需要python3.7或更高版本。 设定环境 安装虚拟环境 pip install virtualenv 创建venv目录 python3 -m venv .venv 激活虚拟环境 source .venv/bin/activate 从requirements.txt安装软件包 pip install -r requirements.txt 停用虚拟环境 deactivate 数据存储约定 数据/ <数据集名称> / raw_pcap / parsed_pcap / extract_tcp / 物理特征/ <数据集名称> _combined_physical_features.csv physical_features_by_device / features_by_device /
pcap文件内容保存为csv文件
m0_62435078的博客
09-16 1356
pcap文件内容导出为csv文件
机器学习练习数据哪里找?两行代码搞定!
fengdu78的博客
10-26 395
初学者学习机器学习的时候,经常会找不到练习的数据,实际上scikit-learn内置了很多可以用于机器学习的数据,可以用两行代码就可以使用这些数据。一、自带数据集自带的小的数据集为:sk...
预处理方法
LZX1939的博客
10-13 235
数据预处理在众多深度学习算法中都起着重要作用,实际情况中,将数据归一化和白化处理后,很多算法能够发挥最佳效果。当我们开始处理数据时,首先要的事是观察数据并获知其特性。本部分将介绍一些通用的技术,在实际中应该针对具体数据选择合适的预处理技术。例如一种标准的预处理方法是对每一个数据点都减去它的均值(也被称为移除直流分量,局部均值消减,消减归一化),这一方法对诸如自然图像这类数据是有效的,...
数据预处理
无人机飞啊飞啊飞
07-09 493
数据预处理 1. 标准化: 去均值的中心化(均值变为0);方差的规模化(方差变为1) 注:标准化是针对每一列而言的,将每一列特征标准化为标准正态分布 参数:with_mean,with_std.这两个都是布尔型的参数,默认情况下都是true,但也可以自定义false.即不要均值中心化或者不要方差规模化为1. from sklearn import preprocessing import...
KDD99入侵检测数据预处理和分类源代码及数据集.zip
04-16
1、内容概要:本资源主要基于Python实现kdd99入侵检测数据集预处理,搭建DNN和CNN神经网络实现kdd99入侵检测分类,适用于初学者学习入侵检测分类使用。 2、入侵检测数据集: 该数据集是从一个模拟的美国空军局域...
KDDCUP99数据集预处理结果.zip
06-09
《KDDCUP99数据集预处理:深入理解与应用》 KDD Cup 1999(简称KDDCUP99)是数据挖掘领域的一项重要竞赛,旨在检测和预防网络入侵。该赛事提供的数据集是研究网络安全、异常检测和机器学习的经典资源。在数据预处理...
KDD99预处理后的csv文件.rar
03-29
KDD99预处理CSV数据集详解》 在信息技术领域,数据分析与挖掘是一项至关重要的工作,而KDD(Knowledge Discovery in Databases)是这一领域的核心任务,它旨在从大量数据库中发现有价值的知识。KDD99是1999年国际...
KDDCUP99数据合集.zip
03-02
数据集包含了大量模拟网络活动的记录,涵盖了正常行为以及各种类型的攻击,为研究者提供了一个全面的环境来测试和评估其算法的性能。 该数据集主要分为两个部分:训练集和测试集,其中训练集用于构建和调整模型,而...
探索网络流量的奥秘:利用kdd99_feature_extractor实现高效特征提取
gitblog_00084的博客
06-25 249
探索网络流量的奥秘:利用kdd99_feature_extractor实现高效特征提取 kdd99_feature_extractorUtility for extraction of subset of KDD '99 features from realtime network traffic or .pcap file项目地址:https://gitcode.com/gh_mirrors/...
CICFlowMeter解析pcap文件
辞树
04-28 945
1. 安装WinPcap 2. 下载CICFlowMeter 3. 解压文件 打开bin目录下/bin/CICFlowMeter.bat,选择离线模式 出现如下界面 点击ok ,示例: 在文件夹对应位置,查看到输出的csv文件
Pcap包的包头与负载解析,制作数据集
weixin_45154431的博客
11-24 3497
pcap文件是常用的数据报存储格式,可以理解为就是一种文件格式,只不过里面的数据是按照特定格式存储的,所以我们想要解析里面的数据,也必须按照一定的格式。普通的记事本打开pcap文件显示的是乱码,用安装了HEX-Editor插件的Notepad++打开,能够以16进制数据的格式显示,用wireshark这种抓包工具就可以正常打开这种文件,愉快地查看里面的网络数据报了,同时wireshark也可以生这种格式的文件。当然这些工具只是我经常使用的,还有很多其它能够查看pcap文件的工具。
KDD CUP99数据集预处理(Python实现)
weixin_41843972的博客
01-08 4260
...
【网络流量识别】总结篇1:机器学习方法在网络流量识别的应用
热门推荐
杨的博客
10-06 1万+
本文总结深度学习方法在流量识别方面的应用,也是对前四篇文章的总结。 主要包括数据集,特征提取方法,深度学习网络,性能比较等几方面的介绍。 一、概述 网络入侵检测系统(N-IDS)是根据网络类型及其行为,对网络 网络流量数据分类的主要方法有(1)误用检测;(2)异常检测;(3)状态完整协议分析 机器学习方法是目前用于IDS的突出方法。 传统的ML方法应用于IDS的有很多,如随机森林(RF),支持向量机(SVM), 这些基于ML的传统的实时IDS解决方法并不是很有效,因为模型的输出呈高误报率,
PCA基本原理及基于机器学习时数据预处理的实战
qq_55254977的博客
08-16 370
分分析(Principal Component Analysis,简称PCA)是一种常用的降维技术,用于在保留数据中最大可解释方差的前提下,将原始数据投影到一个新的坐标系中。这些新的坐标轴被称为主分,它们是原始特征的线性组合。PCA的主要目标是减少数据的维度,同时保留尽可能多的信息。
kdd99入侵检测数据预处理和分类源代码及数据集.zip
04-29
KDD99入侵检测数据预处理和分类源代码及数据集.zip是一个包含了预处理代码和数据集的压缩文件,用于入侵检测的研究和分析。这个数据集由MIT Lincoln实验室于1998年制作,并在1999年发布,旨在为研究者提供一个用于评估入侵检测系统的标准基准。该数据集包含四个子集,分别是训练集、测试集、交叉验证集和白盒测试集。其中训练集有23种攻击类型和正常流量,而测试集有21种攻击类型和正常流量。该数据集以及相关的研究都受到了广泛的关注和应用。 预处理代码对原始数据进行了筛选、筛除冗余和无用信息的处理,同时将数字化的数据转化为人类可读的形式,便于理解和分析。该数据集预处理代码主要用于构建和测试入侵检测算法和模型,例如基于支持向量机、神经网络和决策树的分类器等。这个数据集是安全领域的一个重要资源,有助于提升入侵检测领域的科研水平和技术进步。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值