不多说,直接上干货!

为什么,要写这篇论文?

  是因为,目前科研的我,正值研三,致力于网络安全、大数据、机器学习研究领域!

  论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境、也不局限于真实物理机器环境实验室的大数据集群平台。在此,为了需要的博友们,能在自己虚拟机里(我这里是CentOS6.5)来搭建部署snort+barnyard2+base的入侵检测系统。分享与交流是进步的阶梯!

  同时,本人还尝试过在Ubuntu14.04里搭建这入侵检测系统的环境。同时,还尝试过在win7\win10里搭建这入侵检测系统的环境。

  同时,也欢迎做报警数据方向的烟酒僧留言评论加好友交流。欢迎指正!谢谢。

前期博客

基于CentOS6.5下snort+barnyard2+base的入侵检测系统的搭建(图文详解)(博主推荐)

  注意:看过我这篇前期博客的朋友们,我这里的主机名更改了,由datatest改为snort了。这个其实就是个主机名。

数据的准备

  我这里,数据集用的是,自己抓取采集到的数据集,即/root/data/guet/snort目录下。假设部分数据如下

[root@snort snort]# pwd
/root/data/guet/snort
[root@snort snort]# ll
total 316
-rw-r--r--. 1 root root  16540 Jan 16  2017 snort.unified2.1484570063
-rw-r--r--. 1 root root 302796 Jan 17  2017 snort.unified2.1484572750
[root@snort snort]#

   切换到这个目录下,即把之前的什么,snort.log.***都给删除。

[root@snort snort]# ll
total 8192
-rw-r--r--. 1 root root    2056 Aug 11 15:01 barnyard2.waldo
[root@snort snort]# pwd
/var/log/snort
[root@snort snort]#

 

  将snort.conf里

output unified2: filename snort.log,limit 128

改为

output unified2: filename snort.u2,limit 128

或者不改

  我这里啊,为了表达我自己采集的数据,特意新建了个数据库guetsnort,来存储。

  对应,在/etc/snort/barnyard2.conf里将

   output database: log, mysql, user=snort password=snort dbname=snort host=localhost

 

   改为

   output database: log, mysql, user=snort password=snort dbname=guetsnort host=localhost

自定义规则local.rules

[root@snort rules]# pwd
/etc/snort/rules
[root@snort rules]# cat local.rules
alert ip any any -> any any (msg: "IP Packet detected";sid:1000001;)

  

  得注释掉,/etc/snort下的barnyard2.conf配置文件。

#config waldo_file: /var/log/snort/barnyard2.waldo

执行顺序

  执行,启动barnyard2

[root@snort ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /var/log/snort -f snort.u2 -w /var/log/snort/barnyard2.waldo

  也许这个命令不行。

  得为如下。(下面这个操作是可行的)

[root@snort ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort -f snort.unified2

  

  这是,fast模式

  http://man.chinaunix.net/network/snort/Snortman.htm

  即,因为,是snort.fast模式,所以需要在/etc/snort下的barnyard2.conf里

output alert_fast: stdout

  则打印出如下。

  成功!

  或者

  或者

  那么, 对于,有时候,我们需要full模式呢,怎么来做?(这才是最重要和最关心的)

  http://man.chinaunix.net/network/snort/Snortman.htm

  因为,这里,其实数据是通过snort来产生得到的snort.unified2数据。

  所以,只需用到barnyard2即可。

 即,因为,是snort.full模式,所以需要在/etc/snort下的barnyard2.conf里

output alert_full: alert.full

[root@snort snort]# pwd
/root/data/guet/snort
[root@snort snort]# ll
total 20
-rw-r--r--. 1 root root 16540 Jan 16  2017 snort.unified2.1484570063
[root@snort snort]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort -f snort.unified2

  

  由

  变成

[root@snort barnyard2]# pwd
/var/log/barnyard2
[root@snort barnyard2]# ll
total 0
[root@snort barnyard2]# ll
total 4
-rw-r--r--. 1 root root 2930 Aug 13 14:42 alert.full
[root@snort barnyard2]#

  成功!

  也就是说,这个alert.full就是snort.unified2.1484570063这个文件的内容。

  

  或者,比如,假设,我这目录下很多数据。

  则,可以这样来一次性收到一个txt里。则是

[root@snort snort]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort/nssa-sensor3 -f snort.unified2 > nssa-sensor3_snort.txt

[root@snort snort]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort/nssa-sensor4 -f snort.unified2 > nssa-sensor4_snort.txt

    这样也是可行。

output alert_full: stdout含义和output alert_full:  alert.full

  前者stdout直接是打印到屏幕上

  后者alert.full是输出到/var/log/barnyard2下的alert.full文件里。

  barnyard2的github网站

https://github.com/firnsy/barnyard2

  或者以下也是可以的

mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| mysql              |
| snort              |
| test               |
+--------------------+
4 rows in set (0.01 sec)mysql> create database guetsnort;
Query OK, 1 row affected (0.00 sec)mysql> show databases;
+--------------------+
| Database           |
+--------------------+
| information_schema |
| guetsnort          |
| mysql              |
| snort              |
| test               |
+--------------------+
5 rows in set (0.00 sec)mysql>

  然后

  然后,注释掉/etc/snort/barnyard2.conf里

#config waldo_file: /var/log/snort/barnyard2.waldo

  以下是我数据放置的目录

   然后执行

[root@snort snort]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort/nssa-sensor3 -f snort.unified2

  我这里,经多次尝试,依然还是无法用新建的数据库来导入。

  所以,我这就把导好的DARPA 1999数据库给删除掉了。

  这里教大家的是,如何在base界面里快速删除数据。

  成功删除。

  或者在base界面里快速清空里面的数据。

  操作如下:

  得到的

  成功!

  然后,继续尝试

[root@snort ~]# barnyard2 -c /etc/snort/barnyard2.conf -d /root/data/guet/snort/nssa-sensor3 -f snort.unified2

  成功!

欢迎大家,加入我的微信公众号:大数据躺过的坑        人工智能躺过的坑
 

同时,大家可以关注我的个人博客

   http://www.cnblogs.com/zlslch/   和     http://www.cnblogs.com/lchzls/      http://www.cnblogs.com/sunnyDream/

   详情请见:http://www.cnblogs.com/zlslch/p/7473861.html

  人生苦短,我愿分享。本公众号将秉持活到老学到老学习无休止的交流分享开源精神,汇聚于互联网和个人学习工作的精华干货知识,一切来于互联网,反馈回互联网。
  目前研究领域:大数据、机器学习、深度学习、人工智能、数据挖掘、数据分析。 语言涉及:Java、Scala、Python、Shell、Linux等 。同时还涉及平常所使用的手机、电脑和互联网上的使用技巧、问题和实用软件。 只要你一直关注和呆在群里,每天必须有收获

对应本平台的讨论和答疑QQ群:大数据和人工智能躺过的坑(总群)(161156071) 

转载于:https://www.cnblogs.com/zlslch/p/7347854.html

snort + barnyard2如何正确读取snort.unified2格式的数据集并且入库MySQL(图文详解)...相关推荐

  1. 基于CentOS6.5下snort+barnyard2+base的入侵检测系统的搭建(图文详解)(博主推荐)...

    为什么,要写这篇论文? 是因为,目前科研的我,正值研三,致力于网络安全.大数据.机器学习研究领域! 论文方向的需要,同时不局限于真实物理环境机器实验室的攻防环境.也不局限于真实物理机器环境实验室的大数 ...

  2. Linux下zip格式文件的解压缩与压缩操作命令详解

    < Linux下zip格式文件的解压缩与压缩操作命令详解 > * 声明:网上找来比较凌乱,整理了一下,方便自己查看 zip格式文件的解压缩与压缩操作: 1.把/home目录下面的huaza ...

  3. pe系统如何读取手机_图文详解怎么用pe重做系统

    上期小编讲解了小编教你笔记本电脑开不了机怎么办,本次正特手机网小编给大家讲解一下图文详解怎么用pe重做系统,最近有不少的小伙伴都问小编说,使用pe重做系统简单吗?对于大家提问pe重做电脑系统的问题,其 ...

  4. 用windows系统下的DOS命令将腾讯视频客户端下载的qlv文件转换成MP4格式(图文详解)

    用windows系统下的DOS命令将腾讯视频客户端下载的qlv文件转换成MP4格式(图文详解) 前言 原理 工具 步骤 延伸 博主联系方式 前言 本人喜欢收集各种优秀的视频,但是很多情况下我们看到的视 ...

  5. java poi 模板填数据库,java使用POI读取excel模版并向固定表格里填写数据详解

    java使用POI读取excel模版并向固定表格里填写数据详解:public class ExportExcelDemo { private HSSFWorkbook workbook = null; ...

  6. 全网最全的Windows下Anaconda2 / Anaconda3里正确下载安装爬虫框架Scrapy(离线方式和在线方式)(图文详解)...

    不多说,直接上干货! 参考博客 全网最全的Windows下Anaconda2 / Anaconda3里正确下载安装OpenCV(离线方式和在线方式)(图文详解) 第一步:首先,提示升级下pip 第二步 ...

  7. Snort里如何将读取的包记录存到指定的目录下(图文详解)

    不多说,直接上干货! 比如,在/root/log目录下. [root@datatest ~]# snort -dve -l /root/log 需要注意: 1) /log目录需要你自己建立,并修改权限 ...

  8. android json格式解析,android之解析json数据格式详解

    1.JSON解析 (1).解析Object之一: 解析方法: 1 JSONObject demoJson =newJSONObject(jsonString); 2 String url = demo ...

  9. SPI 读取不同长度 寄存器_SPI协议,MCP2515裸机驱动详解

    SPI概述 Serial Peripheral interface 通用串行外围设备接口 是Motorola首先在其MC68HCXX系列处理器上定义的.SPI接口主要应用在 EEPROM,FLASH, ...

最新文章

  1. 走向DBA[MSSQL篇] - 从SQL语句的角度提高数据库的访问性能
  2. 一个传入自定义 user.properties 文件生成 jMeter 执行报表出错的错误消息
  3. 「软件项目管理」成本估算模型——Walston-Felix模型和COCOMO Ⅱ模型
  4. Java笔记第七篇 数据类型初了解(下,后含有循环输出a-z)
  5. centos7查看python安装路径
  6. 吴恩达发布了大型X光数据集,斯坦福AI诊断部分超越人类 | AAAI 2019
  7. 鸟瞰 Java 并发框架
  8. 局域网网络流量监控_LINUX常见性能监控工具总结
  9. 练习Go语言-HTTP压力测试.md
  10. win7计算机怎么录屏,win7电脑怎么录屏?这个实用工具给你答案!
  11. C++输出透明背景字体
  12. 自我救赎段子_为什么技术可以成为现代教育和学习的救赎之恩
  13. QQ登录的加密传输安全
  14. 算法之排序算法(冒泡法和选择法)
  15. oracle 取季度末,根据季度及年度值,查季度末最后一天
  16. Hex文件和bin文件以及flash大小关系
  17. 英语学习果然是要靠坚持
  18. 网购秒杀系统架构设计
  19. 1+X养老照护服务虚拟仿真实训教学--加强养老护理员队伍建设
  20. 诺奖得主联合创办新药物设计公司,开启GPCR下一个「黄金时代」

热门文章

  1. 【2021-12-30】我爱林俊杰之猜歌游戏
  2. html 页面标签转换效果实例
  3. proteus仿真STM32时时钟问题解决方案
  4. 如果需要你来测试淘宝的购物车,你会如何设计测试用例,需要从哪些方面来考虑。
  5. 【机器视觉】一分钟了解工业视觉AI解决方案交付形式
  6. 全网最全最细的fiddler使用教程以及工作原理没有之一,如有雷同,纯属抄袭!
  7. 电话机器人可以做什么?
  8. scrapy+selenium爬取B站生活区热门视频信息!
  9. 新手上路选择陪练还是租车
  10. 对有序变量进行回归分析,使用SPSS能够轻松做到