wiki:icasIII

Version 15 (modified by waue, 13 years ago) (diff)

--

ICAS III
2011 版

  1. 分析後格式
  2. snort 格式說明
  3. Idp8200
  4. NK7Admin
  5. IntegrateAlert?
    1. map output
    2. reduce output
    3. sample

分析後格式

  • new
0 ids來源; 1 警訊識別id ; 2 攻擊說明 ; 3 分類 ; 4 嚴重性(1最嚴重~3普通) ; 5 年月日 ; 6 時分秒 ; 7 來源ip ; 8 目標ip ; 9 目標port
  • old
1 2 3 4 5 6 7 8 9 10 11 12 13 14
0 ids 來源; 1 警訊識別id ; sid的版本 ; 說明 ; 分類 ; 嚴重性(1最嚴重) ; 月 ; 日 ; 時 ; 分 ; 秒 ; 來源ip ; 目標ip ; 封包協定 ;

snort 格式說明

[**] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM [**]
[Classification: Detection of a non-standard protocol or event] [Priority: 2] 
05/17-08:30:14.750704 140.110.138.253 -> 224.0.0.13
PIM TTL:1 TOS:0xC0 ID:4076 IpLen:20 DgmLen:58
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211]

=轉=> 

不知;sid;版本;說明 ;分類名稱;嚴重性;月;日;時;分;秒;  來源:埠  ; 目的:埠  ; 協定;

1;2189;3;BAD-TRAFFIC IP Proto 103 PIM ;Detection of a non-standard protocol or event;2;05;17;08;30;14;140.110.138.253;224.0.0.13;PIM;

Idp8200

Time Received ## Src Addr ## Dst Addr ## Action ## Protocol ## Dst Port ## interface ## Description ## Severity

2003/8/11 13:05,140.113.130.221,0.0.0.0,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major

2003/8/11 13:05,140.113.130.221,phe96.sro.nchc.org.tw,Accepted,TCP,65432,'interface=eth2',FTP: Format String in Command,Major

NK7Admin

編號 ## 名稱 ## 來源位址 ## 目的位址 ##  開始時間 ##  總數 ## 來源埠 ##  目的埠

1,TCP SYN,60.173.26.116,140.110.127.253,2011/3/1 14:41,1,6000,9415

2,UDP PORT SCAN,168.95.1.1,140.110.104.84,2011/3/1 14:41,1,53,34953

IntegrateAlert?

map output

key : dst_ip - classify_id
val : date @@ time @@ sip @@ ids @@ s-id @@ priority @@ port @@ description

reduce output

key: "tatal_count"-"class_count"-"sid_count")
values: src_ip @@ des_ip @@ priority @@ t1-tn @@ [c1,c2,...] @@ [sid1,sid2] @@ attack_list @@ port_list @@ ids

sample

  • input 
1;0;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432;
2;0;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432;
3;1;FTP: Format String in Command;no;1;2003811;130500;140.113.130.221;0.0.0.0;65432;
1;2;FTP: Format String in ;no;1;2003811;150500;140.113.130.221;phe96.sro.nchc.org.tw;65432;
2;2;FTP: Format String ;no;1;2003811;160500;140.113.130.221;phe96.sro.nchc.org.tw;65432;
3;1;FTP: Format ;no;1;2003811;130500;140.113.130.221;phe96.sro.nchc.org.tw;65432;
  • result 
3-1-2@@ 140.113.130.221@@0.0.0.0@@1@@2003811_130500~2003811_130500@@[0]@@[0, 1]@@[FTP: Format String in Command]@@[65432]@@3
3-1-2@@ 140.113.130.221@@phe96.sro.nchc.org.tw@@1@@2003811_130500~2003811_160500@@[0]@@[2, 1]@@[FTP: Format String in , FTP: Format String , FTP: Format ]@@[65432]@@3

Attachments (2)

Download all attachments as: .zip