我有一些以下格式的网络流量:
时间戳|来源 |目的地 |协议(protocol)|港口|有效负载|有效负载大小
我正在尝试确定此流量中是否存在任何已知的攻击。为此,我正在研究一些入侵检测系统。看起来都是 Snort和 Bro要求转储为 pcap 文件以进行进一步的离线分析。我详细查找了两个系统的文档,但找不到任何处理我所拥有的数据的选项。
关于如何执行此分析有什么建议吗?具体来说,我正在寻找以下之一:
- 有关如何直接使用系统以纯文本形式分析此数据的一些提示
- 用于将此数据转换为 PCAP 文件的工具,我可以稍后在系统中使用该文件
最佳答案
您查看过Security Onion吗? ?这正是您正在寻找的(您正在寻找的流数据(使用 argus 或 Bro),并让您从这些流转向 pcap。
关于networking - 如何分析捕获的网络流量?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/21316087/