如何分析捕获的网络流量？

Question

我有以下格式的网络流量：

Timestamp | Source | Destination | Protocol | Port | Payload | Payload Size

我正在试图确定在这个交通中是否存在已知的攻击。为此，我研究了一些入侵检测系统。看起来，喷鼻和兄弟都要求转储文件是pcap，以便进行进一步的离线分析。我详细查找了这两个系统的文档，但找不到处理我所拥有的数据的任何选项。

对于如何进行分析，有什么建议吗？具体来说，我正在寻找下列之一：

• 关于如何直接使用系统来分析纯文本数据的一些提示。
• 工具将这些数据转换为PCAP文件，我以后可以在系统中使用该文件。

Answer 1

你查过安全洋葱了吗？这正是您所要寻找的(您正在寻找的流数据(与argus或Bro)，让我们从这些流转向pcaps。

Answer 2

Bro提供了一个名为输入框架的框架，用于“将数据输入到bro”。

您可以指定应该读取哪些值、应该使用什么分隔符等等(备选方案-参考)。输入框架使您能够读取此类ASCII文件或使用不同的读取器(基准、二进制、原始、sqlite)。

例如，您可以使用RawReader执行shell命令来转换文件或将结果(stdout)发送到事件。