我正在研究将bro作为DPI解决方案来识别流行的Web应用程序(例如nDPI)。我可以确定conn.log与netflow类似。
在官方文档中,有人说
除了日志外,Bro还具有用于一系列分析和检测任务的内置功能,...可以识别流行的Web应用程序...
因此,我正在查看兄弟的源代码和示例,但是找不到任何标识流行Web应用程序流的默认日志。
我最终希望conn.log或类似的日志在服务标签下包含“流行的Web应用程序服务”。
如果有人将我指向内置脚本以识别流行的Web应用程序和相关日志,那将是很好的。
谢谢!
答案 0 :(得分:1)
文档中的此注释指的是Sachin这些政策/信号:
https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.zeek https://github.com/zeek/zeek/blob/master/scripts/policy/protocols/http/detect-webapps.sig
这些都过时了(最近的Zeek重命名和兼容性更新除外)。