0

我正在研究 bro 作为 DPI 解决方案来识别流行的 Web 应用程序(例如 nDPI)。我可以确定 conn.log 类似于 netflow。

在官方文档中,已经说过

除了日志之外,Bro 还具有用于一系列分析和检测任务的内置功能,...识别流行的 Web 应用程序...

所以我正在查看 bro 源代码和示例,但我找不到任何标识流行 Web 应用程序流的默认日志。

我最终希望 conn.log 或类似的日志在服务标签下包含“流行的 Web 应用程序服务”。

如果有人将我指向内置脚本以识别流行的 web 应用程序和相关日志,那就太好了。

提前致谢!

4

1 回答 1

1

文档中的这条评论指的是这些政策/标志,萨钦:

https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.zeek https://github.com/zeek/zeek/blob/master/scripts/policy/protocols /http/detect-webapps.sig

这些都是相当过时的(最近的 Zeek 重命名和兼容性更新除外)。

于 2019-05-07T17:23:33.567 回答