Context Navigation

Changes between Version 42 and Version 43 of icasIII

Timestamp:: Jul 28, 2011, 6:00:21 PM (13 years ago)
Author:: waue
Comment:: --

Legend:

: Unmodified
: Added
: Removed
: Modified

icasIII

-                      v42
+                      v43
 }}}
- == 先轉化成單筆警訊一行  ==>
- * 格式
-{{{
-ids編號;sid;說明 ;分類名稱;嚴重性;月;日;時;分;秒;  來源:埠  ; 目的：埠  ; 協定;
-}}}
- * 範例
-{{{
-#!text
-;2189;BAD-TRAFFIC IP Proto 103 PIM ;Detection of a non-standard protocol or event;2;05;17;08;30;14;140.110.138.253;224.0.0.13;PIM;
-}}}
-{{{
-;4;(spp_ssh) Protocol mismatch ;Port Scan;4;20110627;093311;140.110.153.77;140.110.134.198;22;
-}}}
-== 2 Idp8200 ==
- * 設定編號為
- * 原始格式
-{{{
-Time Received ## Src Addr ## Dst Addr ## Action ## Protocol ## Dst Port ## interface ## Description ## Severity
-}}}
- * 範例
-{{{
-#!text
-/8/11 13:05,140.113.130.221,0.0.0.0,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
-/8/11 13:05,140.113.130.221,phe96.sro.nchc.org.tw,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
-}}}
-== 3 NK7Admin ==
- * 原始格式
-{{{
-編號 ## 名稱 ## 來源位址 ## 目的位址 ##  開始時間 ##  總數 ## 來源埠 ##  目的埠
-}}}
- * 範例
-{{{
-#!text
-,TCP SYN,60.173.26.116,140.110.127.253,2011/3/1 14:41,1,6000,9415
-,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953
-}}}
-== 輸出格式 ==
- * icas III 正規化後格式
-|| 0 ids來源; || 1 警訊識別id ;   || 2 攻擊說明 ;  || 3 分類 ; ||  4 嚴重性（1最嚴重~3普通） ;  || 5 年月日 ;  || 6 時分秒 ; || 7 來源ip ;  || 8 目標ip ;  || 9 目標port ||
-    * class (分類資訊) 與 sig_id (特徵碼id 編號) 是兩台硬體 ids 沒有的資訊，會補 0  顯示
-    * 嚴重性 ＝ 1~3, 1最嚴重
-    * 偵測裝置編號 : 1=snort, 2=idp8200, 3=nk7admin
-ps:
-   * icas II (舊)
-|| 1 || 2 || 3 || 4 || 5 || 6 || 7 || 8 || 9 || 10 || 11 || 12 || 13 || 14 ||
-|| 0 ids 來源; || 1 警訊識別id ;  || sid的版本 ;  || 說明 ;  || 分類 ;  || 嚴重性（1最嚴重） ;  || 月 ;  || 日 ;  || 時 ;  || 分 ;  || 秒 ;  || 來源ip ;  || 目標ip ;  || 封包協定 ; ||
-= 二、 !IntegrateAlert =
-警訊整合
- * 於 hadoop 上運作
- * 將正規化的資料當輸入
  * 呼叫 Classify 作分類簡化
 …
 }}}
+ = 先轉化成單筆警訊一行 =>
+ * 格式
+{{{
+ids編號;sid;說明 ;分類名稱;嚴重性;月;日;時;分;秒;  來源:埠  ; 目的：埠  ; 協定;
+}}}
+ * 範例
+{{{
+#!text
+;2189;BAD-TRAFFIC IP Proto 103 PIM ;Detection of a non-standard protocol or event;2;05;17;08;30;14;140.110.138.253;224.0.0.13;PIM;
+}}}
+{{{
+;4;(spp_ssh) Protocol mismatch ;Port Scan;4;20110627;093311;140.110.153.77;140.110.134.198;22;
+}}}
+== 2 Idp8200 ==
+ * 設定編號為
+ * 原始格式
+{{{
+Time Received ## Src Addr ## Dst Addr ## Action ## Protocol ## Dst Port ## interface ## Description ## Severity
+}}}
+ * 範例
+{{{
+#!text
+/8/11 13:05,140.113.130.221,0.0.0.0,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
+/8/11 13:05,140.113.130.221,phe96.sro.nchc.org.tw,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
+}}}
+== 3 NK7Admin ==
+ * 原始格式
+{{{
+編號 ## 名稱 ## 來源位址 ## 目的位址 ##  開始時間 ##  總數 ## 來源埠 ##  目的埠
+}}}
+ * 範例
+{{{
+#!text
+,TCP SYN,60.173.26.116,140.110.127.253,2011/3/1 14:41,1,6000,9415
+,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953
+}}}
+== 輸出格式 ==
+ * icas III 正規化後格式
+|| 0 ids來源; || 1 警訊識別id ;   || 2 攻擊說明 ;  || 3 分類 ; ||  4 嚴重性（1最嚴重~3普通） ;  || 5 年月日 ;  || 6 時分秒 ; || 7 來源ip ;  || 8 目標ip ;  || 9 目標port ||
+    * class (分類資訊) 與 sig_id (特徵碼id 編號) 是兩台硬體 ids 沒有的資訊，會補 0  顯示
+    * 嚴重性 ＝ 1~3, 1最嚴重
+    * 偵測裝置編號 : 1=snort, 2=idp8200, 3=nk7admin
+= 二、 !IntegrateAlert =
+警訊整合
+ * 於 hadoop 上運作
+ * 將正規化的資料當輸入
  * 運算結果格式