Version 15 (modified by waue, 13 years ago) (diff) |
---|
ICAS III
2011 版
分析後格式
- new
0 ids來源; | 1 警訊識別id ; | 2 攻擊說明 ; | 3 分類 ; | 4 嚴重性(1最嚴重~3普通) ; | 5 年月日 ; | 6 時分秒 ; | 7 來源ip ; | 8 目標ip ; | 9 目標port |
- old
1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 |
0 ids 來源; | 1 警訊識別id ; | sid的版本 ; | 說明 ; | 分類 ; | 嚴重性(1最嚴重) ; | 月 ; | 日 ; | 時 ; | 分 ; | 秒 ; | 來源ip ; | 目標ip ; | 封包協定 ; |
snort 格式說明
[**] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM [**] [Classification: Detection of a non-standard protocol or event] [Priority: 2] 05/17-08:30:14.750704 140.110.138.253 -> 224.0.0.13 PIM TTL:1 TOS:0xC0 ID:4076 IpLen:20 DgmLen:58 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211]
=轉=>
不知;sid;版本;說明 ;分類名稱;嚴重性;月;日;時;分;秒; 來源:埠 ; 目的:埠 ; 協定;
1;2189;3;BAD-TRAFFIC IP Proto 103 PIM ;Detection of a non-standard protocol or event;2;05;17;08;30;14;140.110.138.253;224.0.0.13;PIM;
Idp8200
Time Received ## Src Addr ## Dst Addr ## Action ## Protocol ## Dst Port ## interface ## Description ## Severity
2003/8/11 13:05,140.113.130.221,0.0.0.0,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major 2003/8/11 13:05,140.113.130.221,phe96.sro.nchc.org.tw,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major
NK7Admin
編號 ## 名稱 ## 來源位址 ## 目的位址 ## 開始時間 ## 總數 ## 來源埠 ## 目的埠
1,TCP SYN,60.173.26.116,140.110.127.253,2011/3/1 14:41,1,6000,9415 2,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953
IntegrateAlert?
map output
key : dst_ip - classify_id val : date @@ time @@ sip @@ ids @@ s-id @@ priority @@ port @@ description
reduce output
key: "tatal_count"-"class_count"-"sid_count") values: src_ip @@ des_ip @@ priority @@ t1-tn @@ [c1,c2,...] @@ [sid1,sid2] @@ attack_list @@ port_list @@ ids
sample
- input
1;0;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432; 2;0;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432; 3;1;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432; 1;2;FTP: Format String in ;no;1;2003811;150500;140.113.130.221;phe96.sro.nchc.org.tw;65432; 2;2;FTP: Format String ;no;1;2003811;160500;140.113.130.221;phe96.sro.nchc.org.tw;65432; 3;1;FTP: Format ;no;1;2003811;130500;140.113.130.221;phe96.sro.nchc.org.tw;65432;
- result
3-1-2@@ 140.113.130.221@@0.0.0.0@@1@@2003811_130500~2003811_130500@@[0]@@[0, 1]@@[FTP: Format String in Command]@@[65432]@@3 3-1-2@@ 140.113.130.221@@phe96.sro.nchc.org.tw@@1@@2003811_130500~2003811_160500@@[0]@@[2, 1]@@[FTP: Format String in , FTP: Format String , FTP: Format ]@@[65432]@@3
Attachments (2)
-
20110609_1141.svg
(8.9 KB) -
added by waue 13 years ago.
demo.svg
- noname.png (68.6 KB) - added by waue 13 years ago.
Download all attachments as: .zip