1

我有一些以下格式的网络流量:

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

我正在尝试确定此流量中是否存在任何已知的攻击。为此,我正在研究一些入侵检测系统。看起来SnortBro都要求转储为 pcap 文件以进行进一步的离线分析。我详细查阅了这两个系统的文档,但找不到任何处理我拥有的数据的选项。

有关如何执行此分析的任何建议?具体来说,我正在寻找以下内容之一:

  • 关于如何直接使用系统以纯文本形式分析此数据的一些指示
  • 将此数据转换为 PCAP 文件的工具,我以后可以在系统中使用该文件
4

2 回答 2

1

您是否研究过安全洋葱?这正是您正在寻找的(您正在寻找的流数据(使用 argus 或 Bro),让您从这些流中转向 pcaps。

于 2014-05-21T19:36:13.303 回答
1

Bro 提供了一个称为Input Framework的框架来“将数据输入 bro”。

您可以指定应该读取哪些值,应该使用什么分隔符等等(options-reference)。输入框架使您能够读取此类 ASCII 文件或使用不同的阅读器(基准、二进制、原始、sqlite)。

例如,您可以使用 RawReader 执行 shell 命令来转换文件或将结果 (stdout) 发送到事件。

于 2015-08-21T12:54:51.110 回答