Joy:網絡流量分析、網絡取證及安全監控工具
Joy是一個捕獲數據包、分析網絡流量數據、網絡研究取證及安全監控的工具。
概述
Joy是一個BSD許可的基于libpcap的軟件包,用來從實時網絡流量或捕獲的數據包文件提取數據特征,使用類似于IPFIX或者Netflow的流量導向模式,之后在JSON中表現這些數據特征。Joy還包括了一個可以應用這些文件的分析工具。Joy還能被用來探索大規模數據,尤其是跟安全和威脅有關的數據。
JSON是為了使數據分析工具的數據輸出更簡單。當JSON輸出文件非常長時,JSON文件可以非常小,并且對壓縮的響應很好。
Joy可以被配置來獲取intraflow數據,這些數據是在網絡流量中出現的事件的數據和信息,包括:
序列的長度、IP包到達的時間、數據包的可配置數目; 一個劉的數據部分中字節的經驗概率分布以及這個值導出的熵; 序列的長度和TLS記錄到達的時間; 其他非加密TLS數據,比如提供密碼組的列表、被選擇的密碼租、clientKdyExchange字段的長度; 與流相關的進程名,正在運行的pcap主機上中為流發起或終止。
Joy是用戶安全研究、取證和小規模網絡監測來進行漏洞檢測、威脅檢測、非法行為檢測和有害行為檢測。研究人員、管理人員、滲透測試人員和安全運營團隊可以很好的利用這些信息,保護被監測的網絡免受攻擊,在某些漏洞情況下,可以通過提高防御姿態保證廣泛社區的利益。作為網絡監測工具,Joy可能被濫用,所以當你不是管理員或者網絡所有人時,請不要使用Joy。
在正向心理學中,流是一種狀態,一個人執行一個活動,完全沉入近一種積極性十足、深入參與、快樂的感覺。
Joy是alpha/beta軟件,我們希望你使用它并從中受益,但是你要明白,它不適合生產。
信用
這個包是由來自思科高級安全研究小組(ASRG)的David McGrew和Blake Anderson {mcgrew,blaander}@cisco.com 所寫。
快速開始
構建
Joy已經成功的在Linux(Debian, Ubuntu和CentOS)和Mac OSX上被測試和運行。這兩種系統都使用gcc和GNU make構建,但是它應該也可以在其他開發環境中正常運行。
首先,從github上下載包,并切換到joy所在的目錄;
在主目錄中運行 make 來構建包:
[joy]$ make
程序被編譯、連接、清除、復制到合適的主目錄下。它還會執行測試腳本和一個單元測試程序。
用來從pcap文件或者實時數據捕獲提取的數據特征的主程序是pcap2flow,它在src/subdictory下。它build成功后被復制到joy主目錄下。它可以在該路徑下運行或安裝,這樣它會在Linux或Mac OSX上作為守護程序自動運行。
運行和配置
為了了解pacp2flow是如何被配置的,讀取其中一個配置文件(linux.cfg或macosx.cfg)。在脫機模式下處理pcap文件,運行:
[joy]$ ./pcap2flow [ OPTIONS ] filename [ filename2 ... ] e.g. [joy]$ ./pcap2flow bidir=1 output=data.json filename
為了在練級模式下運行數據包捕獲,使用相同的命令格式,但是要包括一個interface=命令的options,并且省卻命令行中的文件名。
e.g. [joy]$ sudo ./pcap2flow interface=eth0 bidir=1 output=data.json
它有很多命令行選項,所以我們不在命令行中使用所有選項,你可能想要程序讀取一個配置文件。這樣的兩個分布式文件,linux.cfg和macosx.cfg。如果你想要改變程序的默認值(為了準確的捕捉你感興趣的數據,你可能會這樣做),之后復制這份配置文件。
使用不同名稱創建一個本地副本,防止Joy更新時,你的配置文件被破壞。
安裝
要在系統上安裝這個軟件,你需要先build它。運行install-sh腳本(root或者使用sudo)來安裝這個包。
[joy]$ sudo ./install-sh
如果你運行不帶參數的腳本,那么默認時,配置文件就會被安裝到/etc/目錄。要安裝一個不同的陪皮質文件,你要使用-c來安裝腳本:
[joy]$ sudo ./install-sh -c local-config-file.cfg
你還可以配置匿名地址,它包含內部子網文件。這些子網的默認文件是internal.net;你可以使用-a來更改配置。同理,你可以更改IP地址的watchfile(使用-w)或者更改用于通過scp上傳文件的SSH私鑰(使用-k)。使用-h來獲得幫助、查看所有安裝說明。
文件
手冊將作為包的一部分被自動建立、安裝。請參閱文件pcap2file.1或者之后被運行的install-sh腳本,通過"man pcap2flow"進入手冊。
測試
運行腳本./pcap2flow_test.sh和src/unit_test來測試程序。這些程序都會指出命令行執行成功還是失敗。
