計算機入侵取證:
計算機取證是運用計算機及其相關科學和技術的原理和方法獲取與計算機相關的證據以證明某個客觀事實的過程。它包括計算機證據的確定、收集、保護、分析、歸檔以及法庭出示。
bro基礎介紹:
bro是一款被動的開源流量分析器。它主要用於對鏈路上所有深層次的可疑行為流量進行安全監控,為網絡流量分析提供了一個綜合平台,特別側重於語義安全監控。雖然經常與傳統入侵檢測/預防系統進行比較,但bro采用了完全不同的方法,為用戶提供了一個靈活的框架,可以幫助定制,深入的監控遠遠超出傳統系統的功能。
bro的目標在於搜尋攻擊活動並提供其背景信息與使用模式。它能夠將網絡中的各設備整理為可視化圖形、深入網絡流量當中並檢查網絡數據包;它還提供一套更具通用性的流量分析平台。
bro在計算機取證方面具有十分有效的作用。它可以通過pcap包來獲取入侵者留下的痕跡。
| Bro | Snort | Wireshark& Tshark | |
|---|---|---|---|
| 優勢 | 高級的 異常檢測 |
正則表達式,簽名 | 流量分析
|
| 關注數據 | 連接對象, 事件 |
數據包, 數據流 |
協議剖析 |
| 可編程性 | Bro DSL | 不 | 不 |
| 實時或重放 | 兼備 | 兼備 | Pcap重放 |
| 應用層 | 應用層 自動化, 數據動態分發 |
自動化, OpenAppID
|
手動, 解析器 |
https://www.sneakymonkey.net/2017/03/03/pcap-file-extraction/