CERT NetSA Security Suite遇见 Spark:网络流量分析新操作

最新推荐文章于 2023-07-07 17:03:02 发布
最新推荐文章于 2023-07-07 17:03:02 发布
阅读量1.2k 收藏 3
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzkk_/article/details/77575226
版权 
网络流量分析,广泛运用于流量监控、网络安全检测、用户行为分析、计费管理或其他网络活动中。说起网络流量分析工具,很多人会想到Tcpdump和Wireshark。Tcpdump是很好用的抓包工具,Wireshark用户界面也十分友好,但是面对大规模网络环境,它们都显得很无力。

那么,大规模网络环境下,网络流量分析问题怎么破?

我们可以借助CERT NetSA开发的工具和Spark来轻松实现较大规模网络分析。


 
 

CERT NetSA工具简介

CERT NetSA Security Suite是由美国卡内基梅隆大学的网络应急响应组(CERT)开发的一套网络流量分析工具套件,用于分析大规模网络流量。我们主要讨论的是套件中的YAF和super_mediator。



SiLK工具套件支持网络流数据的高效收集、存储和分析,使网络安全分析人员能够快速查询大型历史流量集。SiLK非常适用于分析大型分布式企业的网络流量,以及中型ISP的骨干网络或边界流量。SiLK工具分为两种类型:包装系统和分析套件。包装系统中的rwflowpack,用来收集IPFIX、NetFlow v9或NetFlow v5等的流量,并将数据转换为一种节约存储空间的格式,然后记录到特定的SiLK文件中。分析套件可以读取SiLK格式文件,并执行各种查询、统计和过滤操作。



YAF工具可以处理tcpdump产出的pcap格式文件,将其打包成yaf格式文件,也可以实时捕获一个网卡的流量,将其转化为双向流,然后输出给IPFIX收集程序或基于IPFIX格式的文件。YAF的输出可以直接用SiLK的分析套件来进行分析。YAF还有深度包解析的插件,支持主流的应用层协议。



super_mediator是一个中间件,用于将YAF的输出转换为csv和json格式文件,或者存储到mysql中。

CERT NetSA工具安装与配置

以下介绍ubuntu环境下,以服务的方式安装配置相关工具,搭建一个流量采集节点。

安装依赖的库

NetSA的工具依赖glib2-dev和libpcap,直接apt-get安装:

 
 
 

  
  
  sudo apt-get -y install libglib2.0-dev

sudo apt-get -y install libpcap-dev
 
 
 

libfixbuf是我们依赖的,按照以下流程安装:

 
 
 

  
  
  wget http://tools.netsa.cert.org/releases/libfixbuf-1.7.1.tar.gz

tar -zxvf libfixbu
最低0.47元/天 解锁文章
zzkk_
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全系列-XIII: 如何在Centos 7.x上部署SiLK和YAF,以进行网络流量采集与分析
penriver的博客
04-16 1719
CERT NetSA Security SuiteNetSA 工具集】是由美国卡内基梅隆大学的网络应急响应组开发的一套网络流量分析工具套件,用于分析大规模网络流量。包含:SiLK、Yaf等 [SiLK] the System for Internet-Level Knowledge,由CERT NetSA开发的一组流量分析工具,用于大型网络的安全分析 Yet Another Flowmeter (YAF)是CERT NetSA安全套件的数据收集组件,一种捕捉网络流量的传感器,无论是实时流量还是PCAP
网络安全系列-十七: Mothra 用于处理网络流量数据的库和工具的入门示例
penriver的博客
04-21 2969
Mothra是Apache Spark大型数据分析引擎中用于处理网络流数据的库和工具的集合 Mothra被设计用来存储和处理大量的网络流数据以及支持的信息集合 库提供的功能: 用于读取IPFIX和SiLK流数据以及一些额外的SiLK数据文件的Apache Spark数据源 提供有用的功能,用于处理网络数据中常见的信息 提供的工具包括: 将IPFIX和SiLK数据加载到HDFS存储以供后续分析 在加载IPFIX数据时进行分区以支持更有效的查询 本文针对如何使用mothra及碰到的问题进行记录
netflow_v9:生锈的netflow v9数据包解析器
02-04
netflow_v9:生锈的netflow v9数据包解析器
yaf与silk环境搭建
不积跬步无以至千里
06-01 4240
Yaf与silk环境搭建  Installprerequisites $ yum groupinstall "Development Tools" $ yum install libpcap libpcap-devel pcre pcre-devel glib2-devel Groupinstall是yum的属性参数 按组安装(可以省略) 安装抓包库,perl支持库,glib2-
Yaf安装与部署
mlx212的专栏
03-10 4909
Yaf框架是基于扩展的mvc框架,用c实现的,因此性能效率都比一般的框架要高。 github地址:github.com/laruence/php-yaf 一、安装(安装之前确定系统已经装了gcc,gcc-c++,make,automake,autoconf,无则加载系统镜像安装相应的rpm包) 1、下载并解压 wget http://pecl.php.net/get/yaf-2.2.9...
yaf安装配置
weixin_30265171的博客
06-04 111
  简单了解yaf之后,开始进行yaf的配置,我使用的是php+nginx+mysql,在window系统下安装。   第一步 将yaf.dll,yar.dll放到php\ext目录下   第二步 在php.ini里加入extension=yaf.dll extension=yar.dll   第三步,重启服务器,在一个php文件里输入phpinfo(),运行,如果出...
解决Chrome在版MacOS上报错 NET::ERR_CERT_WEAK_KEY 的问题
10-15
主要介绍了解决Chrome在版MacOS上报错 NET::ERR_CERT_WEAK_KEY 的问题,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
tapioca:CERT Tapioca用于MITM网络分析
05-07
概述CERT Tapioca是使用MITM技术测试移动设备或任何其他应用程序的实用程序。 CERT木薯粉的开发是由美国陆军装备研究,开发和工程中心(ARDEC)以及美国国土安全部(DHS)赞助的。 安装要求: 支持的平台包括:...
使用 CERT 数据分析国际网络安全的经验和挑战-研究论文
06-09
网络国际关系探索 (ECIR) 数据仪表板项目旨在收集由国家级计算机应急响应小组 (CERT) 公开提供的全球网络安全数据,并提供一套用于分析网络安全数据的工具。 本文的独特贡献是:(1) 对不同国家级 CERT 网络安全数据...
Wind River推出加速高安全性产品上市的VxWorks Cert版文档
01-19
嵌入式(嵌入式系统Embedded System--嵌入到特定设备中的计算机系统)及移动应用软件厂商风河(Wind River),近日宣布为VxWorks Cert平台(VxWorks 是美国 Wind River System 公司推出的一个实时操作系统)推出符合...
在Yaf中使用Zf2的配置和服务管理器
卓林的专栏
12-04 1620
在zf2中路由,派遣和服务注册,模块注册拖累了整个速度. 计划用yaf代替zf2的mvc模块.
【LIBPCAP】初识
俗科技的博客
11-14 632
官网地址:http://www.tcpdump.org/ 欢迎 ​ tcpdump是一个功能强大的命令行数据包分析器(使用了libpcap,一个可移植的C/ c++库),用于网络流量捕获。 ​ 在这个页面中,您将找到tcpdump和libpcap的最稳定版本,以及当前的开发快照、完整的文档,以及关于如何报告bug或提交补丁的信息。 文档 ​ 源代码包中以MAN页面格式提供了完整的文档。使...
CENTOS上的网络安全工具(二十七)SPARK+NetSA Security Tools容器化部署(3)
lhyzws的专栏
07-07 1415
上回说到在我们搭好的YAF3环境上使用yaf处理pcap文件得到silk flow,再使用super mediator工具转为ipfix,继而在spark中导入mothra,就可以开始数据分析了。然而在我们粗粗一用之下,却发现DPI信息在ipfix文件中找不到,到底是提取的时候就没提取出来(ipfix不支持dpi信息存储)?还是说我们的分析方式不对?——换句话说yaf、super-mediator、methora这三个环节,问题到底出在哪里了?我们卖了个关子,为本篇开启留了个伏笔。实则是我也不知道……。
netflowv9介绍及数据包格式
红梅花儿开
07-09 5002
1,简介netflow是Cisco公司提出的用于描述通过路由器的连接信息的协议。路由器也象防火墙一样不仅仅是按包处理,而是跟踪到连接一层,对属于同一个连接的数据包进行统计,某种程度上也成了状态检测,路由器将这些连接信息使用netflow协议发送到netflow搜集器,根据连接的统计信息可得到网络运行的各种信息,还可用来判断是否受到攻击。netflow已经出过很多版本,目前应用较多的netf
【NetFlow】NetFlow V9协议详细分析
热门推荐
三也_攻城狮
05-09 2万+
无意中发现了一个巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,而且非常风趣幽默,像看小说一样!觉得太牛了,所以分享给大家。点这里可以跳转到教程。 摘自百度百科 Netflow技术最早是于1996年由思科公司的Darren Kerr和Barry Bruins发明的,并于同年5月注册为美国专利,专利号为6,243,667。Netflow技术首先被用于网络设备对数据交...
NetFlow V9协议解析使用教程(一)
u011311291的博客
05-21 6822
一.IPFIX和Netflow(以下对协议的解释都来自百度百科) IPFIX全称为IP Flow Information Export,即IP数据流信息输出,它是由IETF公布的用于网络中的流信息测量的标准协议。 该协议主要在于: l 统一 IP数据流的统计、输出标准,这使得网络管理员很容易地提取和查看存储在这些网络设备中的重要流量统计信息。 l 输出格式具有较强的可扩展性,因此如果流量监控的要求...
针对于网络安全领域中基于PCAP流量的数据集
weixin_30897079的博客
01-14 2988
网络安全领域中基于PCAP流量的数据集 MAWI Working Group Traffic Archive URL:http://mawi.wide.ad.jp/mawi/ CIC dataset Canadian Institute for Cybersecurity datasets are used around the world by universities, private...
Caused by: java.security.cert.CertificateExpiredException: NotAfter: Sat Jul 08 07:59:59 CST 2023
最新发布
07-12
他们应该能够为你提供一个的、有效的证书来替换过期的证书。 一旦你获得了证书,你需要将其配置到你的应用程序中。具体的步骤可能因应用程序和开发环境而有所不同,但一般来说,你需要将证书添加到信任存储中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值