1

次の形式のネットワーク トラフィックがあります。

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

このトラフィックに既知の攻撃があるかどうかを判断しようとしています。このために、いくつかの侵入検知システムを検討していました。SnortBroの両方が、さらにオフラインで分析するためにダンプを pcap ファイルにする必要があるようです。両方のシステムのドキュメントを詳細に調べましたが、所有しているデータを処理するオプションが見つかりませんでした。

この分析の実行方法に関する提案はありますか? 具体的には、次のいずれかを探しています。

  • システムを直接使用してこのデータをプレーンテキストで分析する方法に関するいくつかの指針
  • このデータを後でシステムで使用できる PCAP ファイルに変換するツール
4

2 に答える 2

1

Security Onionを調べましたか? これはまさにあなたが探しているもの (あなたが探しているフロー データ (argus または Bro を使用)) を実行し、それらのフローから pcaps にピボットできます。

于 2014-05-21T19:36:13.303 に答える
1

Broは「Broにデータを入力する」ためのInput Frameworkというフレームワークを提供しています。

どの値を読み取るか、どのセパレーターを使用するかなどを指定できます ( options-reference )。入力フレームワークを使用すると、そのような ASCII ファイルを読み取ったり、さまざまなリーダー (ベンチマーク、バイナリ、生、sqlite) を使用したりできます。

たとえば、RawReader を使用してシェル コマンドを実行し、ファイルを変換したり、結果 (stdout) をイベントに送信したりできます。

于 2015-08-21T12:54:51.110 に答える