具体搭建过程
首先安装jdk8,Gradle,Maven,IntelliJ IDEA 2023.1,配置好环境和相应路径。然后再从github上下载CICFlowMeter-master源代码,并导入到idea中,idea会自动检测相应的执行路径。再去官网上下载最新的jnetpcap-1.4.r1425替换原项目文件中的同名文件,并将jnetpcap.dll和jnetpcap.jar复制粘贴到CICFlowMeter-master项目根目录下。在idea中选择jdk版本为jdk8,执行下列操作:
mvn install:install-file -Dfile=jnetpcap.jar -DgroupId=org.jnetpcap -DartifactId=jnetpcap -Dversion=1.4.1 -Dpackaging=jar
项目就会开始构建(idea中直接点启动按钮)。最后在终端中执行./gradlew execute,就会弹出一个窗口。窗口如下:
到此,CICFlowMeter环境搭建成功。
详细使用介绍
CICFlowMeter是一款流量特征提取工具,有两种模式,分别为离线模式和在线模式。
离线模式
在离线模式中,该工具输入pcap文件,输出pcap文件中包含的数据包的特征信息,共80多维,以csv表格的形式输出。下面是相关特征含义:
- 提取的都是传输层的一些统计信息,以一个TCP流或一个UDP流为一个单位。
- TCP流以FIN标志为结束,UDP以设置的flowtimeout时间为限制,超过时间就判为结束。
- 在一个TCP流中有很多个数据包,先三次握手而后传输信息再四次挥手。
- 统计一个流中的统计信息作为提取的特征。
- 统计的特征都分前后向,规定由源地址到目的地址为正向,目的地址到源地址为反向。
- 为每个流构建一个标志叫Flow ID:192.168.31.100-183.232.231.174-46927-443-6,由源地址、目的地址、协议号组成。
在线模式
在线模式中,首先点击load按钮查看可用的网卡参数,然后抓包即可。
点击start,等抓完所需的信息后,再点击stop,这样就会自动在CICFlowMeter-master\data\daily这一路径下保存一个csv文件。
输入输出结果展示
示例,首先打开离线模式,输入ff.pcap文件,在桌面上输出相应的csv文件(方便观察)。
然后在桌面找到输出的文件:
表格展示(在vs code中打开):
