У меня есть некоторый сетевой трафик в следующем формате:Как анализировать захваченный сетевой трафик?
Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size
Я пытаюсь определить, есть ли какие-либо известные атаки в этом движении. Для этого я рассматривал некоторые системы обнаружения вторжений. Похоже, что и Snort, и Bro требуют, чтобы дамп был файлом pcap для дальнейшего автономного анализа. Я подробно рассмотрел документацию обеих систем, но не смог найти никаких вариантов обработки данных, которые у меня есть.
Любые предложения по выполнению этого анализа? В частности, я ищу одного из следующих способов:
- Некоторые указатели о том, как непосредственно использовать системы для анализа этих данных в виде простого текста
- Tool, чтобы преобразовать эти данные в PCAP файл, который я могу использовать позднее с системами
Это вопрос программирования? –
@RobertHarvey: Нет. Я не ищу реализацию, а скорее методологию для достижения этой цели (если это возможно). – Legend
Ваш вопрос не указан. Я не могу сказать, ищете ли вы алгоритм анализа, алгоритм синтаксического анализа или способ преобразования данных в pcap, чтобы эти программы могли его обрабатывать. –