bro流量分析(改名zeek)
计算机入侵取证:
计算机取证是运用计算机及其相关科学和技术的原理和方法获取与计算机相关的证据以证明某个客观事实的过程。它包括计算机证据的确定、收集、保护、分析、归档以及法庭出示。
bro基础介绍:
bro是一款被动的开源流量分析器。它主要用于对链路上所有深层次的可疑行为流量进行安全监控,为网络流量分析提供了一个综合平台,特别侧重于语义安全监控。虽然经常与传统入侵检测/预防系统进行比较,但bro采用了完全不同的方法,为用户提供了一个灵活的框架,可以帮助定制,深入的监控远远超出传统系统的功能。
bro的目标在于搜寻攻击活动并提供其背景信息与使用模式。它能够将网络中的各设备整理为可视化图形、深入网络流量当中并检查网络数据包;它还提供一套更具通用性的流量分析平台。
bro在计算机取证方面具有十分有效的作用。它可以通过pcap包来获取入侵者留下的痕迹。
Bro | Snort | Wireshark& Tshark | |
---|---|---|---|
优势 | 高级的 异常检测 |
正则表达式,签名 | 流量分析
|
关注数据 | 连接对象, 事件 |
数据包, 数据流 |
协议剖析 |
可编程性 | Bro DSL | 不 | 不 |
实时或重放 | 兼备 | 兼备 | Pcap重放 |
应用层 | 应用层 自动化, 数据动态分发 |
自动化, OpenAppID
|
手动, 解析器 |
https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/