我有以下格式的网络流量:
Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size
我正在尝试确定此流量中是否存在任何已知攻击。为此,我正在研究一些入侵检测系统。看起来Snort和Bro都需要将转储作为pcap文件以进行进一步的离线分析。我详细查看了两个系统的文档,但找不到处理我所拥有的数据的任何选项。
有关如何执行此分析的任何建议?具体来说,我正在寻找以下之一:
答案 0 :(得分:1)
你有没有看过Security Onion?这正是您正在寻找的(您正在寻找的流数据(使用argus或Bro),并让您从这些流转向pcaps。
答案 1 :(得分:1)
Bro提供了一个名为Input Framework的框架,以便将数据输入到兄弟"。
您可以指定应该读取哪些值,应该使用哪个分隔符等等(options-reference)。输入框架使您能够读取此类ASCII文件或使用不同的读取器(基准,二进制,原始,sqlite)。
例如,您可以使用RawReader执行shell命令来转换文件或将结果(stdout)发送到事件。