bro流量分析(改名zeek)

计算机入侵取证:

计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。

bro基础介绍:

bro是一款被动的开源流量分析器。它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控。虽然经常与传统入侵检测/预防系统进行比较,但bro采用了完全不同的方法,为用户提供了一个灵活的框架,可以帮助定制,深入的监控远远超出传统系统的功能。

bro的目标在于搜寻攻击活动并提供其背景信息与使用模式。它能够将网络中的各设备整理为可视化图形、深入网络流量当中并检查网络数据包;它还提供一套更具通用性的流量分析平台。

bro在计算机取证方面具有十分有效的作用。它可以通过pcap包来获取入侵者留下的痕迹

  Bro Snort Wireshark& Tshark
优势 高级的
异常检测 		正则表达式,签名 流量分析
关注数据 连接对象,
事件 		数据包,
数据流 		协议剖析
可编程性 Bro DSL
实时或重放 兼备 兼备 Pcap重放
应用层 应用层 自动化,
数据动态分发 		自动化,
OpenAppID

 手动,
解析器

https://www.bro.org/documentation/faq.html#why-isn-t-bro-producing-the-logs-i-expect-a-note-about-checksums

https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/

原文地址:https://www.cnblogs.com/tanghaoth666/p/10450074.html

时间: 2024-08-30 09:58:56

bro流量分析(改名zeek)的相关文章

大数据实战:用户流量分析系统

本文是结合hadoop中的mapreduce来对用户数据进行分析,统计用户的手机号码.上行流量.下行流量.总流量的信息,同时可以按照总流量大小对用户进行分组排序等.是一个非常简洁易用的hadoop项目,主要用户进一步加强对MapReduce的理解及实际应用.文末提供源数据采集文件和系统源码. 本案例非常适合hadoop初级人员学习以及想入门大数据.云计算.数据分析等领域的朋友进行学习. 一.待分析的数据源 以下是一个待分析的文本文件,里面有非常多的用户浏览信息,保扩用户手机号码,上网时间,机器序

网站实战分析之流量分析

本篇是“流量分析”的个人读书笔记,推荐书<网站实战分析>,作者是王彦平,写的实在,通篇干货,没有废话. 网站流量来源渠道有:直接访问,推荐流量,搜索引擎流量. 网站流量具体怎么分析这节不说了,因为这个是王彦平作者的心血,大家还是买书吧,讲的很好. 常见引起流量变化的原因: 1.引荐网站自身流量变化 2.引荐链接形式变化 3.引荐链接所在的频道及页面变化 4.文字及内容变化

Android 流量分析 tcpdump &amp; wireshark

APP竞争已经白热化了,控制好自己Android应用的流量可以给用户一个良好的用户体验噢,给用户多一个不卸载的理由. Android 如何进行流量分析?用好tcpdump & wireshark这两个工具就好了. 1.tcpdump采用命令行方式,它的命令格式为: tcpdump [ -adeflnNOpqStvx ] [ -c 数量 ] [ -F 文件名 ] [ -i 网络接口 ] [ -r 文件名] [ -s snaplen ] [ -T 类型 ] [ -w 文件名 ] [表达式 ] tcp

网络流量分析——NPMD关注IT运维、识别宕机和运行不佳进行性能优化。智能化分析是关键-主动发现业务运行异常。

科来 做流量分析,同时也做了一些安全分析(偏APT)--参考其官网:http://www.colasoft.com.cn/cases-and-application/network-security-analysis.php 作为安全工程师的你,想发现有谁在攻击我,还原攻击过程并且取证么? 作为立志成为网络技术大拿的你,想在学习理论知识的同时,了解实战中会遇到的哪些问题,这些问题用什么样的思路去解决么?如果以上答案为Yes,那么<CSNA网络分析经典实战案例>就是你的菜,以下内容全是网络安全真

加密流量分析

1.背景 现在很多高级的攻击的目的都是为了获取数据,部分是为了损人不利己的破坏.对于前者,主要是把获取的机密信息加密绕过DLP系统传输到外面,这也是很多安全事件的源头.不解密,技术人员无法检测此类恶意软件,这就意味着他们面临在安全和隐私之间需要做出权衡. 2.简述   用于保护在线数据的加密技术给恶意软件提供了藏身之地.如何检测出加密流量中的威胁一直是行业面临的一个难题……现在,这一难题终于被攻克了. 2017年6月20日 作者:Jason Deign@DeigninSpain 加密是保护隐私的

掘安攻防实验室(流量分析题)

突然想做一下流量分析题,记得掘安攻防实验室上面有很多的流量分析题目,故做之 流量分析题一般使用的都是wireshark,(说wireshark是流量分析工具里面的王牌应该没人反对吧 夺取阿富汗 说了分析http头,所以直接过滤http协议 追踪流 发现响应头里面有CTF: dGhlRmxhZ0luSHR0cEhlYWRlcg== 一看就是base64编码,解码得: 夺取阿曼: 下载之后解压,使用wireshark打开出错 当然在题目里面已经提示了pcap文件已经损毁,另外还有zip文件存在,我们

网络流量分析利器-可视化网络-netflow【1】-基础原理

网络流量分析利器-可视化网络-netflow[1]-基础原理 网络流量分析利器-可视化网络-netflow[2]-Cisco NetFlow 工作原理介绍及配置 网络流量分析利器-可视化网络-netflow[3]-netflow版本5和版本9区别 网络流量分析利器-可视化网络-netflow[4]-接收器nfdump简介 网络流量分析利器-可视化网络-netflow[5]-linux下数据采集器fprobe 网络流量分析利器-可视化网络-netflow[6]-生产网流量监控架构设计 fprobe

MapReduce实现手机上网流量分析

一.问题背景 现在的移动刚一通话就可以在网站上看自己的通话记录,以前是本月只能看上一个月.不过流量仍然是只能看上一月的. 目的就是找到用户在一段时间内的上网流量. 本文并没有对时间分组. 二.数据集分析 可以看出实际数据集并不是每个字段都有值,但是还好,完整地以tab隔开了,数据格式还是不错的,我们需要的上行下行数据都有,没有缺失值.其实这个需要在程序中处理,如果不在的话 该怎么办. 1363157985066 13726230503 00-FD-07-A4-72-B8:CMCC 120.196

使用WiFi热点抓包产生的SSDP流量分析

抓包时经常会看到SSDP流量,这个流量应该是因为使用WiFi热点抓包产生的.而不是APP所产生的流量.同样一个app使用WiFi热点与不使用WiFi热点抓取的流量情况.         按照SSDP协议的规定,当一个控制点(客户端)接入网络的时候,它可以向一个特定的多播地址的SSDP端口使用M-SEARCH方法发送“ssdp:discover”消息.当设备监听到这个保留的多播地址上由控制点发送的消息的时候,设备会分析控制点请求的服务,如果自身提供了控制点请求的服务,设备将通过单播的方式直接响应控