У меня есть сетевой трафик в следующем формате:
Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size
Я пытаюсь определить, есть ли известные атаки на этот трафик. Для этого я искал некоторые системы обнаружения вторжений. Похоже, что и Snort, и Бро требует, чтобы дамп был в формате pcap для дальнейшего автономного анализа. Я подробно просмотрел документацию обеих систем, но не смог найти никаких вариантов обработки данных, которые у меня есть.
Любые предложения о том, как выполнить этот анализ? В частности, я ищу одно из следующего:
- Несколько советов о том, как напрямую использовать системы для анализа этих данных в текстовом виде.
- Инструмент для преобразования этих данных в файл PCAP, который я могу позже использовать с системами.