Changes between Version 25 and Version 26 of icasIII


Ignore:
Timestamp:
Jun 9, 2011, 5:57:13 PM (14 years ago)
Author:
waue
Comment:

--

Legend:

Unmodified
Added
Removed
Modified

  • icasIII

    v25 v26  
    1010
    1111
    12 = 分析後格式 =
     12 =  DataCheck =
    1313
    14  * new
    15 
    16 || 0 ids來源; || 1 警訊識別id ;   || 2 攻擊說明 ;  || 3 分類 ; ||  4 嚴重性(1最嚴重~3普通) ;  || 5 年月日 ;  || 6 時分秒 ; || 7 來源ip ;  || 8 目標ip ;  || 9 目標port ||
    17 
    18  * old
    19 || 1 || 2 || 3 || 4 || 5 || 6 || 7 || 8 || 9 || 10 || 11 || 12 || 13 || 14 ||
    20 || 0 ids 來源; || 1 警訊識別id ;  || sid的版本 ;  || 說明 ;  || 分類 ;  || 嚴重性(1最嚴重) ;  || 月 ;  || 日 ;  || 時 ;  || 分 ;  || 秒 ;  || 來源ip ;  || 目標ip ;  || 封包協定 ; ||
     14 * 檢查各資料夾內是否有資料
     15 * 有資料則依各入侵偵測格式進行正規化
     16 * 輸出
    2117
    2218
    23 = snort 格式說明 =
     19== 1 snort  ==
    2420
    2521{{{
     
    3228}}}
    3329
    34 =轉=>
     30 == 先轉化成單筆警訊一行  ==>
    3531
     32 * 格式
    3633{{{
    37 不知;sid;版本;說明 ;分類名稱;嚴重性;月;日;時;分;秒;  來源:埠  ; 目的:埠  ; 協定;
     34ids編號;sid;版本;說明 ;分類名稱;嚴重性;月;日;時;分;秒;  來源:埠  ; 目的:埠  ; 協定;
    3835}}}
    39 
     36 * 範例
    4037{{{
    4138#!text
     
    4441
    4542
     43== 2 Idp8200 ==
     44 * 設定編號為
    4645
    47 
    48 
    49 = Idp8200 =
    50 
     46 * 原始格式
    5147{{{
    5248Time Received ## Src Addr ## Dst Addr ## Action ## Protocol ## Dst Port ## interface ## Description ## Severity
    5349}}}
    5450
     51 * 範例
    5552{{{
    5653#!text
    57542003/8/11 13:05,140.113.130.221,0.0.0.0,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
    58 
    59552003/8/11 13:05,140.113.130.221,phe96.sro.nchc.org.tw,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
    60 
    6156}}}
    6257
    6358
    6459
    65 = NK7Admin =
     60== 3 NK7Admin ==
    6661
     62 * 原始格式
    6763{{{
    6864編號 ## 名稱 ## 來源位址 ## 目的位址 ##  開始時間 ##  總數 ## 來源埠 ##  目的埠
    6965}}}
    70 
     66 * 範例
    7167{{{
    7268#!text
    73691,TCP SYN,60.173.26.116,140.110.127.253,2011/3/1 14:41,1,6000,9415
     702,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953
     71}}}
    7472
    75 2,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953
     73== 輸出格式 ==
    7674
    77 }}}
     75 * icas III 正規化後格式
     76
     77|| 0 ids來源; || 1 警訊識別id ;   || 2 攻擊說明 ;  || 3 分類 ; ||  4 嚴重性(1最嚴重~3普通) ;  || 5 年月日 ;  || 6 時分秒 ; || 7 來源ip ;  || 8 目標ip ;  || 9 目標port ||
     78
     79
     80    * class (分類資訊) 與 sig_id (特徵碼id 編號) 是兩台硬體 ids 沒有的資訊,會補 0  顯示
     81    * 嚴重性 = 1~3, 1最嚴重
     82    * 偵測裝置編號 : 1=snort, 2=idp8200, 3=nk7admin
     83
     84ps:
     85
     86   * icas II (舊)
     87|| 1 || 2 || 3 || 4 || 5 || 6 || 7 || 8 || 9 || 10 || 11 || 12 || 13 || 14 ||
     88|| 0 ids 來源; || 1 警訊識別id ;  || sid的版本 ;  || 說明 ;  || 分類 ;  || 嚴重性(1最嚴重) ;  || 月 ;  || 日 ;  || 時 ;  || 分 ;  || 秒 ;  || 來源ip ;  || 目標ip ;  || 封包協定 ; ||
    7889
    7990
    8091= !IntegrateAlert =
     92警訊整合
    8193
     94 * 於 hadoop 上運作
     95 * 將正規化的資料當輸入
     96 * 運算結果格式
     97
     98 ||0 攻擊者ip -> 目標ip ||1 嚴重性(1~3, 1最嚴重) ||2 開始日期_時間點~結束日期_時間點 ||3 [分類資訊,...] ||4 [sig_id,...] ||5 [攻擊說明1,攻擊說明2,...] ||6 [目標port1,目標port2, ...] ||7 [偵測裝置編號,...] ||8 "整合總筆數"-"整合分類筆數"-"整合sig_id編號筆數" ||
    8299
    83100 == map output ==
     
    94111}}}
    95112 
    96 
    97  ||0 攻擊者ip -> 目標ip ||1 嚴重性(1~3, 1最嚴重) ||2 開始日期_時間點~結束日期_時間點 ||3 [分類資訊,...] ||4 [sig_id,...] ||5 [攻擊說明1,攻擊說明2,...] ||6 [目標port1,目標port2, ...] ||7 [偵測裝置編號,...] ||8 "整合總筆數"-"整合分類筆數"-"整合sig_id編號筆數" ||
    98113
    99114 ==  sample ==
     
    120135}}}
    121136
    122  = !DotGraph =
     137= Aggreggate =
     138
     139 * 將運算結果從 hdfs 下載到 local
     140 * dot -> 繪圖-> svg 攻擊圖
     141 * 黑名單
     142 * 警訊列表
     143
     144 == !DotGraph ==
     145繪圖
     146
    123147
    124148{{{