Как анализировать захваченный сетевой трафик?

У меня есть сетевой трафик в следующем формате:

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

Я пытаюсь определить, есть ли известные атаки на этот трафик. Для этого я искал некоторые системы обнаружения вторжений. Похоже, что и Snort, и Бро требует, чтобы дамп был в формате pcap для дальнейшего автономного анализа. Я подробно просмотрел документацию обеих систем, но не смог найти никаких вариантов обработки данных, которые у меня есть.

Любые предложения о том, как выполнить этот анализ? В частности, я ищу одно из следующего:

  • Несколько советов о том, как напрямую использовать системы для анализа этих данных в текстовом виде.
  • Инструмент для преобразования этих данных в файл PCAP, который я могу позже использовать с системами.

networking network-traffic pcap intrusion-detection bro
person Legend    schedule 23.01.2014    source источник
comment
Это вопрос по программированию?   -  person Robert Harvey    schedule 23.01.2014
comment
@RobertHarvey: Нет. Я не ищу реализацию, а скорее методологию для достижения этого (если это возможно).   -  person Legend    schedule 23.01.2014
comment
Ваш вопрос недоопределен. Я не могу сказать, ищете ли вы алгоритм анализа, алгоритм синтаксического анализа или способ преобразования данных в pcap, чтобы эти программы могли его обрабатывать.   -  person Robert Harvey    schedule 23.01.2014
comment
В порядке; Позвольте мне добавить больше деталей.   -  person Legend    schedule 23.01.2014
comment
@RobertHarvey: только что обновил свой вопрос. Дайте мне знать, если мне нужно добавить другое разъяснение. Спасибо!   -  person Legend    schedule 23.01.2014
comment
Я снова открыл, но я все еще не уверен, как это связано с разработкой программного обеспечения.   -  person Robert Harvey    schedule 23.01.2014
comment
Какой именно формат у вас там? ASCII? Когда вы говорите «Полезная нагрузка», это полезная нагрузка одного пакета или всего потока?   -  person David Hoelzer    schedule 19.05.2016

Ответы (2)


arrow_upward
1
arrow_downward

Вы заглядывали в Security Onion? Это делает именно то, что вы ищете (данные потока, которые вы ищете (с argus или Bro), и позволяет вам перейти к pcaps из этих потоков.

person punkrokk    schedule 21.05.2014

arrow_upward
1
arrow_downward

Bro предоставляет платформу под названием Input Framework. «ввести данные в бро».

Вы можете указать, какие значения следует читать, какой разделитель следует использовать и т. д. (ссылка на параметры). Платформа ввода дает вам возможность читать такие ASCII-файлы или использовать разные считыватели (эталонные, двоичные, необработанные, sqlite).

Например, вы можете использовать RawReader для выполнения команд оболочки для преобразования файла или для отправки результата (stdout) в событие.

person Jan Zipfler    schedule 21.08.2015