Joy:监控加密的网络流量
获取Joy
git clone https://github.com/cisco/joy
./config
make
$ sudo apt-get install build-essential libssl-dev libpcap-dev
libcurl4-openssl-dev
$ sudo apt-get install python-dev python-numpy python-setuptools
python-scipy
$ sudo easy_install -U scikit-learn
Joy的软件组成
- joy
- sleuth
- model.py
《Using-joy-05.pdf》
1.1.2 Ethics
一个单向数据流的JSON描述的例子:
1.2 网络和数据背景
flow在joy里面有一个常规的网络五元组:(sa, da, ,pr, sp, dp)
Chapter 2 The joy tool
默认情况下,它的输出是 GZIP 压缩的 JSON,使用第 5 节中描述的格式。未压缩的输出或 bz2 压缩的输出可用作编译时选项(请参阅文件 src/include/output.h)。 有许多软件工具可以处理 GZIP 压缩数据,尤其是在 Linux 和其他 POSIX 环境中,例如 gunzip、zless 和 zcat。 在离线模式下应用 Joy 并使用 gunzip 将其输出转换为未压缩形式的示例调用:
2.1 Overview
每个joy 选项(-x 除外)的格式为option=value,其中option 是标识选项的字符串,value 是布尔值(0 或1)、(非负)数字或字符串。有两种类型的选项:通用选项(2.2)和控制输出数据特征的选项(2.3)。
Joy 可以在几种不同的模式下运行。在离线模式下,joy 处理一个或多个数据包捕获 (PCAP) 文件并将网络流的(压缩的)JSON 摘要打印到标准输出;此模式由命令行上的一个或多个文件名指示。文件名必须跟在所有存在的选项之后,并且每个文件名不应包含等号 (=),以避免joy 将PCAP 文件与选项混淆的可能性。
在在线模式下,joy 监听一个或多个网络接口。此模式通过使用 interface=I 选项(第 2.2.2 节)指定接口 I 来指示。如果存在选项 output=F(第 2.2.4 节),则(压缩的)JSON 输出将写入文件 F . 在这种模式下,输出文件轮换可以用count(2.2.6节)指定,日志文件可以用logfile(2.2.5节)指定。
输出文件可以通过带有上传选项的 SCP 上传到单独的服务器(第 2.2.7 节)。在线模式在大多数操作系统上都需要 root 权限;为了安全起见,在开始捕获后,joy 将放弃其特权(第 2.2.23 节)。
Joy 还可以用于 Netflow 或 IPFIX collect 模式(第 2.2.13、2.2.14 节)或** IPFIX 导出器模式**(第 2.2.15、2.2.16 和 2.2.17 节)。
2.1.1 配置对象
在初始化和任何其他输出之前,joy 写出一个 JSON 对象,描述其完整配置,以及生成它的 Joy 程序的版本。 此信息很重要,因为这些选项会影响哪些数据元素可以出现在流对象中。 分析 Joy JSON 输出的程序应该检查配置对象并确保它们不会将它当作流对象来处理,并且它们应该通过检查顶层的 version 字段的存在来做到这一点 目的。 配置对象的注释示例:
Chapter 3 The sleuth tool
3.1 Model
sleuth 程序可用于处理来自 JSON 文件或 PCAP 文件的流对象; 它可以从文件或标准输入中读取,过滤出符合特定条件的流,从流中选择数据元素,执行其他类型的分析,并打印出结果。 通过对其执行一个或多个操作来处理每个流以便读取它。 提供给程序的参数决定了执行的操作及其顺序。 通过将多个操作链接在一起,可以计算出许多不同的结果。
可以查询JSON/PCAP文件中想要的数据
select 确定将从流中选择哪些元素; 省略其他元素
where 设置流必须匹配的条件; 省略所有不匹配的流
dist 计算流的分布(计数和总数)
groupby 导致所有具有相同 groupby 值的流被一起处理
sum 计算所选元素的总和
一些应用例子:
Show flows that contain a packet whose payload is exactly 50 bytes in length:
Chapter 5: JSON Schema
Joy 的 JSON 输出默认使用 GZIP 算法进行压缩。在其压缩形式中,它可以方便地使用 zless 程序读取或使用 zcat 管道传输到标准输出。在未压缩形式中,文件的每行有一个 JSON 对象。元数据对象始终包含 version 字段,该字段指示用于创建它的欢乐捕获工具的版本。该对象包含该程序的完整配置,在分析它生成的流对象时了解这一点很重要。当 Joy 在在线模式下运行时,它会将其输出写入一个文件或一系列文件,并且它写入的第一个对象是描述其配置的元数据对象。流对象包含大部分输出。捕获工具按照流的创建顺序写出流对象;时间开始字段按递增(或至少非递减)顺序排列。流对象将包含不同的数据元素,具体取决于流包含的协议。
Joy:监控加密的网络流量相关推荐
- 介绍一个监控网卡及网络流量的好工具NICSTAT
介绍一个监控网卡及网络流量的好工具NICSTAT 最近发现了个好的工具,是监控网卡及网络流量的叫NICSTAT,这里我通过这个例子来说明 当你发现一个陌生的东西,怎样一下子弄熟,概括来讲分为安装,应用 ...
- nagios监控告警之网络流量监控(附pnp模板)
步骤: 1.下载网络流量监控脚本: https://raw.githubusercontent.com/June-Wang/NagiosPlugins/master/check_net_traffic ...
- 计算机网络监控技术,实现网络流量监控的核心技术要求
利用计算机网络流量监控来阻止来自网络的攻击以及网络木马病毒等.设计计算机网络流量监控软件是优化与规划计算机网络的基础,不仅能够收集计算机网络上的数据资料,也可以对计算机网络进行持续性地监控.利用产生的 ...
- 网络流量监控软件怎样实现
随着网络的发展,越来越多的人使用网络,对带宽的需求也就越来越大.这样,使用流量监控软件对网络流量进行监控管理,非常有必要. 网络流量控制现状 据统计,P2P数据流量占因特网总流量达60%,并且在用户总 ...
- 网络流量监控及流量异常检测
当今的企业面临着许多挑战,尤其是在监控其网络基础设施方面,需要确保随着网络规模和复杂性的增长,能够全面了解网络的运行状况和安全性.为了消除对网络性能的任何压力,组织应该采取的一项重要行动是使用随组织一 ...
- 浅析网络流量分析原理:如何把二进制“天书”变成“人话”
网络流量贯穿业务流转的各个环节,从我们电脑.手机,到数据中心.WEB组件和应用等都需要通过网络流量完成数据交互.因此,网络流量存在着巨大的应用价值. 但原始的网络流量以二进制方式呈现,无法直接读取和应 ...
- linux选择最短路径sdn,基于网络流量的SDN最短路径转发应用
原标题:基于网络流量的SDN最短路径转发应用 网络的转发是通信的基本功能,其完成信息在网络中传递,实现有序的数据交换.通过SDN控制器的集中控制,可以轻松实现基础的转发算法有二层MAC学习转发和基于跳 ...
- 宝塔面板网络流量上行和下行速度代表什么?
宝塔面板的网络流量可以监控服务器接口实时流量,上行和下行速度代表上传还是下载?上行是指用户下载,下行是指上传,码笔记测试结果为: 宝塔上行速度和下行速度 宝塔面板上行和下行代表什么? 宝塔主机面板可以 ...
- linux 网络流量如何计算,如何在Linux下统计高速网络中的流量
在Linux中有很多的流量监控工具,它们可以监控.分类网络流量,以花哨的图形用户界面提供实时流量分析报告.大多数这些工具(例如:ntopng , iftop )都是基于libpcap 库的 ,这个函数 ...
最新文章
- 便利的开发工具 CppUnit 快速使用指南
- 6.1.Scrapy项目
- R语言数值向上近似函数(round, ceiling, floor, trunc, signif)实战
- Windows Server入门系列34 用户配置文件
- 活久见: 原来 Chrome 浏览器支持 Import from 语法
- 关于stm32芯片解锁方法
- 程序开发是编写sql语句的注意事项
- Linux网络模拟,模拟网络访问解析
- repo-关于URL编码
- 第一章:OpenCV入门
- linux下被遗忘的gpio_keys按键驱动
- 数学建模学习笔记(十一)——预测模型
- html 父元素右下角,html – 如何在父元素和父元素的兄弟元素上显示子元素?
- WAP 1.X, WAP 2.0
- Windows phone 7中关于Zune软件使用几个问题
- 第二十五篇:稳定性之灰度发布
- 常用设备管理口默认用户名密码汇总
- 输入一个字符,判断该字符是大写英文字符,小写英文字符,空格,还是其他字符
- 计算机英语形成性考核册,开放英语1形成性考核册答案(中央广播电视大学外语部)doc...
- java模拟人生世界冒险_《模拟人生3世界冒险》的冒险心得与注意点