ZUI(Brim)使用指南

已于 2023-03-30 21:34:54 修改
阅读量771 收藏 1
点赞数
文章标签: 网络 服务器 tcp/ip 网络协议
于 2023-03-30 21:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/MakiSlytherin/article/details/129867162
版权

zui(Brim)使用规范

将数据包转换为json格式

文章目录

每一行的意义

先将所有的json格式包按时间顺序排序。

zql代码:sort ts

前两行日志:stats、conn都是zeek自己添加的。

从第三行开始对应原始pcap,一行对应一个流。相当于对一个数据包在wireshark进行追踪流后形成的流,这一行必定是五元组相同的数据流(flow),但一个流可能会有多个摘要。

conn.log摘要主要包含这些信息:

ts:到达时间
uid:可能是随机给的id号
id:{orig_h:源IP地址,orig_p:源端口}
proto:协议
servive:服务器类型(null/ssl)
duration:流持续时间
orig_bytes:来自源IP的字节
resp_bytes:响应自目的IP的字节
conn_state:conn文件类型
			- S0 尝试连接,未应答
			- S1 建立连接未结束(不包含字节数)
            ⚪ SF 正常建立和终止(有字节数)
            - REJ 连接被拒绝
            - S2 发起连接,未收到答复,发起者尝试关闭
            - S3 建立连接,应答者尝试关闭
            - RSTO 连接已建立,发送发终止
            - RSTR 响应方发终止
            ⚪ RSTRH 响应方发送一个SYN ACK和RST,未见发起方的SYN
            - SH 发起方发送一个SYN,和FIN,未见响应方的SYN ACK(半连接)
            - SHR 响应发送了一个SYN ACK和一个FIN,未发送见SYN
            - OTH 未关闭的连接
history:
orig_pkts:源IP发出的包数量
resp_pkts:响应的包数量
orig_ip_bytes:
resp_ip_bytes:

对想要看的摘要右键——>Show In Detail Pane

请添加图片描述

可以看到右边DETAIL栏,除了摘要的各项信息之外,还有摘要的相关的其他类型的摘要关联。

  • 我们对第五行的conn摘要进行细节了解,可以看到各项信息和其关联的其他类型摘要,说明这个流中包含多种类型。

请添加图片描述

请添加图片描述

  • 还可以看到该流的完整建立过程。由于该流是SF类型,所以是建立了完整连接的。

请添加图片描述

  • 我们看另外一条类型未RSTRH的流,就没有完整的建立过程。

请添加图片描述

  • 说回上一个conn摘要的关联摘要,也是该流产生的摘要,因此我们明白了,conn摘要对应了一个完整的流(五元组相同的flow)但其也不知conn一种类型,可能流中有DNS响应和文件传输,那么它还会对应DNS摘要和files摘要,这些摘要也会在摘要行中紧随其后。X509摘要好像没有出现在关联链表中,但从摘要的流到达时间可以看出,是同一个流产生的摘要。

请添加图片描述

出现一个流conn摘要相关摘要是同一个流但产生了多个摘要是怎么回事?

请添加图片描述

  • 第一个conn 状态是SHR(响应发送了一个SYN ACK和一个FIN,未发送见SYN),第二个conn状态时SH(发起方发送一个SYN,和FIN,未见响应方的SYN ACK),第三、四、五个conn状态是SH。
  • 理解是:这种情况一个流发生了重传,每个conn都记录的不是完整的流,只是这个端口发生的一些连接行为,所以conn不一定对应用五元组方式区分出来的流。

结论

  • conn.log对应的是该流的基本信息,对应的是一个完整flow的信息。但有时同一个端口也会发生重传,每一次重传会对应一个conn摘要,此时不一定对应用五元组方式区分出来的流。

  • 并不是一行对应一个流。因为一个流会产生多个类型的摘要。

  • 一个流产生的摘要关联可以通过图看出,一般摘要信息都紧挨着。

  • 可能有些流是不完整的流,从conn_state可以看出来,一般SF才是完整的流。

SSL摘要

  • 不一定会和conn摘要挨在一起,最好还是通过DETAIL——CORRELATION来看

请添加图片描述

重要字段:

subject:主题{CN:网站域名,O:单位名称,L:所在城市,S/ST:省份,C:国家……}

issuer:颁发者{CN:网站申请单位名称,O:单位名称,}

自签名证书:issuer和subject是一样的,没有SSL第三方可信机构的支持。
要看根证书是不是可信机构签发的。
  • 怎么筛选出ssl和其conn的对应关系?

DNS摘要

  • 不同类型的摘要都会和conn摘要相关,因为conn是该流的基本信息,而该流如果是完整的流就一定有其他工作,例如提供DNS查询,或者是加密通信等等。

  • DNS查询的流怎么关联到其对应的加密流量?

  • 好像可以通过ssl摘要中的server_name字段关联

  • DNS的query字段
    请添加图片描述

  • ssl的server_name字段

请添加图片描述

选取一定时间范围内的流摘要

  • 选取一个流摘要邮件——>Set Time Range From,会显示从这个时间开始,一定时间范围内的流摘要

请添加图片描述

CICAndMal2017数据集的一些规律

  • 原始数据集一个pcap对应一个主机源IP向外的所有请求和响应。

  • 处理时,可以通过zql语句,筛选出所有完整的流的conn.log,点击export可以导出所有完整流的conn.log日志,可以获得

    orig_bytes:源IP负载部分的字节数

resp_bytes:目的IP负载部分字节数

duration:流持续时间

orig_pkts:源IP发出包数

orig_ip_bytes:源IP所有网络层的字节数(包括TCP头部等)

resp_pkts:目的IP发出包数

resp_ip_bytes:目的IP网络层的字节数

    sort ts|conn_state=="SF"

  • 从完整的流中,可以从443端口筛选出所有加密流

MakiSlytherin
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
brimcap:无缝地将pcap转换为类型丰富的zng zeek和suricata日志
04-12
帽檐 命令行实用程序,用于将pcap数据转换为灵活的,可搜索的zng数据格式,如和zq。 快速开始 。 随手准备一个pcap(或从下载示例pcap)。 运行brimcap分析: brimcap analyze sample.pcap > sample.zng 使用浏览: zq -z "zeek=count(has(_path)), alerts=count(has(event_type='alert'))" logs.zng 与Brim桌面应用程序配合使用 为了以丰富的基于ui的体验浏览数据,可以使用brimcap load命令(适用于linux,macOS和Windows的构建)将来自分析的数据自动加载到*: 运行帽沿桌面应用程序。 在pcap上执行brimcap加载: brimcap load sample.pcap *集成目前还不是很好,很快就会有更好的体验! 安装
zui UI框架
03-21
web前端框架,整洁的界面,页面元素齐全,功能齐全,容易理解。
关于流量分析软件brim最新安装方法
qq_45616570的博客
03-28 957
brim未进行改版之前,网站提供的是.exe安装包,可是最近改版了,需要搭配zui进行安装。输入dhcp | fuse点击run可查看dhcp的相关信息。打开brim安装目录,输入cmd,进入命令行界面。在brimcap安装目录下生成2.zng文件。更多给你等待你们去实践,不在一一介绍。从网站下载对应系统的压缩包进行解压。将 brimcap 目录添加到您的。将生成的文件导入到zui这个软件中。信息包括主机名、mac地址等。下载zui v1.0版本。点击import data。
【综述类论文】Machine Learning for Encrypted Malicious Traffic Detection(重要)
一个努力生活的人的博客
11-16 2193
一篇有关加密流量检测的综述
在Linux上使用Brim转换Wireshark工作流程
culinxia2707的博客
09-24 2362
pixelnest/Shutterstockpixelnest /快门 Wireshark isthe de facto standard for analyzing network traffic. Unfortunately, it does become increasingly laggy as the packet capture grows. Brim solves this pro...
ZUI的入门使用
weixin_34310369的博客
01-15 2909
2019独角兽企业重金招聘Python工程师标准>>> ...
Brim 使用笔记
收集盒 Book box
04-19 1830
转载请注明来源:https://1990day.com/skills/brim_note.html image 一、简介 Brim是一款由美国供应商Brim Security开发并开源的流量分析工具,可以轻松处理非常大的数据包捕获(pcap)文件。 Brim由多个开源组件构建而成,包括:结构化日志查询引擎zq;用于多平台用户界面的Electron和React;以及从数据包捕获文件生成网...
zui列表组用法
hsg77的专栏
07-24 798
zui列表组用法 <div style="width:250px;height:500px;overflow-y:auto;overflow-x: hidden" id="div_tables"> <div class="list-group" id="bar_tables" style="width:240px"></div&
使用ZUI框架+JQuery+递归实现侧边动态菜单效果
曾小超的博客
03-31 956
实现步骤:1.导jar包,2.bean,3.dao,4.service,5.servlet,6.xml配置该servlet,7.页面,8.界面实现效果(dao和service工厂省略,前面有提) 1.导jar包: 2.bean: public class AdminInfo {//后台用户表 private Long adminId; private String adminNam...
[博客空间]Brim 2.0.0_brim.zip
03-21
在压缩包中的"资料整理"文件可能包含了关于如何安装、配置和使用Brim 2.0.0的详细指南,以及可能的示例数据和配置文件。这些资料将帮助用户快速上手,并了解如何最大化利用Brim的新特性。 五、应用案例 Brim 2.0.0...
ZUI前端框架
05-20
ZUI是易软天创团队在完善自己产品(禅道、蝉知、然之)过程中形成的一个开源前端HTML5 UI实践方案,帮助你快速构现代跨屏应用。ZUI正式发布1.3版本。全新的文档网站来了!键盘侠新福利:使用搜索来查找内容,并支持快捷键操作。新增图表视图组件,支持对饼图、柱状图和曲线图的展示。另外微调了默认配色,对多个组件UI细节进行了优化,修复了bug。ZUI论坛也开张了,欢迎大家在论坛发帖讨论。
brim:桌面应用程序,可以有效地搜索大型数据包捕获和Zeek日志
02-12
边沿 Brim是面向安全和网络专家的开源桌面应用程序。 使用Brim可以轻松地从以下位置搜索和分析数据: 数据包捕获,例如创建的捕获,以及 结构化日志,尤其是来自网络分析框架的日志。 边缘对于需要处理大数据包捕获的安全和网络运营商特别有用,尤其是对于Wireshark,tshark或其他数据包分析器而言比较麻烦的捕获。 Brim由开源组件构建而成,包括: ,结构化日志查询引擎; 用于多平台UI的和 ; ,从数据包捕获文件生成网络分析数据。 安装帽沿 请参阅的。 发行说明可在页面上找到。 有问题吗? 在之前,请浏览以查看常见问题和有用的提示。 发展与贡献 我们希望您的帮助! 请参阅以获取开发信息,例如构建和测试Brim。 加入社区 加入我们的工作区以获取公告,问答和交易提示!
zuiZUI是HTML5前端UI框架
02-28
文档语言:| 一个基于Bootstrap的深度定制开源前端实践方案,帮助您快速构建现代跨屏应用。 从官方网站了解更多: : 。 :gem_stone:为移动端设计,基于Flex的UI框架: 。 官方QQ群:2群:127535859,1群:384135104(满员)项目和计划: 特色 简单易用,快速重建美观的现代Web应用; 轻量级高性能,只包含关键功能特性,但总体上高可扩展性,只让你的应用转化; 跨平台支持,多屏幕响应;允许的利用现代浏览器特性,但也支持IE8等古老的浏览器; 完整方案,内置大量实用第三方组件,并进行了优化,适用大部分Web应用的开发; 易于定制,有多个版本供选择,主要版本包含大部分特性,另外的内容按需加载。 快速使用 详细使用说明访问 。 NPM npm install zui 凉亭 bower install zui CDN 由提供: <!-- ZUI 标准版压缩后的 C
CICFlowMeter:CICFlowmeter-V4.0(以前称为ISCXFlowMeter)是用于异常检测的以太网流量双流生成器和分析器,已用于许多网络安全数据集中,例如Android Adware-General Malware数据集(CICAAGM2017),IPSIDS数据集(CICIDS2017), Android恶意软件数据集(CICAndMal2017)和分布式拒绝服务(CICDDoS2019)
05-13
安装jnetpcap本地仓库 对于linux,sudo是先决条件 //linux :at the pathtoproject/jnetpcap/linux/jnetpcap-1.4.r1425 //windows: at the pathtoproject/jnetpcap/win/jnetpcap-1.4.r1425 mvn install:install-file -Dfile=jnetpcap.jar -DgroupId=org.jnetpcap -DartifactId=jnetpcap -Dversion=1.4.1 -Dpackaging=jar 跑步 IntelliJ IDEA 在IDE中打开终端 //linux: $ sudo bash $ ./gradlew execute //windows: $ gradlew execute 蚀 用sudo运行eclipse 1
DroidEvolver_ Self-Evolving Android Malware__Detection System.pdf
03-09
论文:DroidEvolver:自我发展的Android恶意软件检测系统,2019。欢迎下载论文!!
博客空间Brim 2.0.0-brim.rar
最新发布
04-09
【项目资源】:包含前端、后端、移动开发、操作系统、人工智能、物联网、信息化管理、...【沟通交流】:有任何使用上的问题,欢迎随时与博主沟通,博主会及时解答。鼓励下载和使用,并欢迎大家互相学习,共同进步。
Burn To The Brim-开源
05-01
"烧录到边缘"(Burn To The Brim)是一款开源软件,专为高效地组织文件和文件夹,以便充分利用CD、DVD或任何其他存储介质的空间而设计。在信息技术领域,这种工具对于那些需要精确控制存储空间,特别是进行数据备份...
ZUI易入门Android之开源框架的使用
轻描时光
07-12 505
前言: 为了扩展大家的知识面,工作后对当前流行的一些开源框架有所了解,今天我们会给大家介绍一系列的第三方框架的使用方法。这些框架有的能简化我们的代码,比如那些繁冗的findviewbyid操作,有的把我们访问网络的操作进行了封装,有的可以高效地帮助我们实现图片下载和显示的功能,有效避免OOM,有的能高效地处理数据库的增删改查操作,等等。总之,掌握当前流行的第三方框架的使用方法能够有效提高我们的开发效率,下面我们就来对这些框架一一讲解。 依赖注入概念 B: 框架的使用目的之一就是简化代码、降.
一款新兴的操作pcap的神器
01-07 1203
一 前言有机会接触到这款软件,还是同事的一个图,图介绍了开源项目Zed和基于Zed做的一款全流量安全产品Brim。整个产品其实是不少开源项目的一个小集成,只所以感兴趣,除了brim在github有1.5k个star的原因外,更吸引我的是它使用了一种新的数据结构,超结构化的数据模型,通过这种结构可以集数据的压缩、索引、数据的分析于一体,而不用数据存储的各类数据库、NoSQL,简单方便。二 Zed和它...
SAP BRIM是什么
07-08
SAP BRIM(Billing and Revenue Innovation Management)是一款由SAP提供的综合收费和收入创新管理解决方案。它帮助企业管理和优化其收费和收入流程,包括定价、计费、合同管理、收入识别和财务结算等。BRIM涵盖了多...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值