Как анализировать захваченный сетевой трафик?

Question

Как анализировать захваченный сетевой трафик?

У меня есть сетевой трафик в следующем формате:

Я пытаюсь определить, есть ли какие-либо известные атаки в этом трафике. Для этого я искал некоторые системы обнаружения вторжений. Похоже, что и Snort, и Bro требуют, чтобы дамп был файлом pcap для дальнейшего анализа в автономном режиме. Я подробно изучил документацию обеих систем, но не смог найти никаких вариантов обработки данных, которые у меня есть.

Любые предложения о том, как выполнить этот анализ? В частности, я ищу одно из следующего:

Некоторые советы о том, как напрямую использовать системы для анализа этих данных в виде простого текста
Инструмент для преобразования этих данных в файл PCAP, который я могу позже использовать с системами

2

networking pcap network-traffic intrusion-detection bro

Источник

user184046 23 янв '14 в 18:09

2 ответа

Другие вопросы по тегам networking pcap network-traffic intrusion-detection bro

user3441724 21 май '14 в 19:36 2014-05-21 19:36 · Answer 1 · 2014-05-21 19:36

Вы смотрели в Security Onion? Это делает именно то, что вы ищете (данные о потоках, которые вы ищете (с Argus или Bro), и позволяет вам поворачиваться к pcaps из этих потоков.

2

Источник

user3441724 21 май '14 в 19:36

user5251939 21 авг '15 в 12:54 2015-08-21 12:54 · Answer 2 · 2015-08-21 12:54

Bro предоставляет платформу Input Framework для "ввода данных в bro".

Вы можете указать, какие значения следует читать, какой разделитель использовать и т. Д. ( Option-reference). Инфраструктура ввода дает вам возможность читать такие файлы ASCII или использовать различные программы чтения (бенчмарк, бинарный, raw, sqlite).

Например, вы можете использовать RawReader для выполнения команд оболочки, чтобы преобразовать файл или отправить результат (stdout) событию.