Joy es un paquete para
capturar y analizar el flujo de datos de la red y los datos IntraFlow, para el análisis
forense, y monitoreo de seguridad en redes. Joy es un paquete de software basado en BSD-licensed libpcap
para la extracción de características de los datos del tráfico de red en vivo o
paquetes de archivos de captura, utilizando un modelo de flujo orientado
similar a la de IPFIX o Netflow, y después representar estas funciones de datos
en JSON. También contiene herramientas de análisis de seguridad en redes que se
pueden aplicar a estos archivos de datos. Joy puede ser utilizado para explorar
los datos a escala, especialmente los datos de seguridad en redes, digital
forensics y las amenazas relevantes.
Se utiliza JSON con el
fin de hacer el resultado fácilmente consumible por herramientas de análisis de
datos. Mientras que los archivos de salida JSON son algo más detallados, ellos
son razonablemente pequeños, y ellos responden bien a la compresión. Los
expertos de seguridad en redes y digital forensics pueden configurarse Joy para
obtener el flujo de datos dentro, es decir, los datos y la información sobre
eventos que se producen dentro de un flujo de red incluyendo:
§ La secuencia de longitudes y tiempos de
llegada de paquetes IP, hasta un cierto número de paquetes configurable.
§ La empirical probability distribution de los
bytes dentro de la porción de datos de un flujo, y la entropía derivada de ese
valor.
§ La secuencia de longitudes y tiempos de
llegada de los registros TLS.
§ • Otros datos no encriptados TLS, tales como
la lista de conjuntos decipher suite que se ofrecen, el ciphersuite
seleccionado, la longitud del campo clientKeyExchange, y las cadenas de
certificado de servidor.
§ Nombres DNS, direcciones y TTL.
§ Elementos de encabezado HTTP y los primeros
ocho bytes del HTTP body.
§ El nombre del proceso asociado con la
corriente, para los flujos de origen o destino final en el host en el que se
está ejecutando PCAP.
Joy ha sido ejecutado
correctamente y probado en Linux (Debian, Ubuntu, CentOS) y Mac OSX por Los
expertos de seguridad en redes y digital forensics. El sistema ha sido
construido con gcc y GNU make, pero debería funcionar con otros entornos de
desarrollo también.
Joy es para el uso en
la investigación de seguridad en redes, digital forensics, y para el monitoreo
de las seguridad en redes (a pequeña escala) para la detección de
vulnerabilidades, amenazas y otros comportamientos no autorizados o no
deseados. Los investigadores, administradores, pruebas de penetración, digital
forensics y
los equipos de operaciones de seguridad en redes pueden poner esta información
a buen uso, para la protección de las redes siendo monitoreados, y en el caso
de las vulnerabilidades. Al igual que con cualquier herramienta de monitoreo de
seguridad en redes, Joy potencialmente podría ser mal utilizada; no lo use en
cualquier red de los cuales usted no es el propietario o el administrador.
0 comments:
Post a Comment