https://github.com/YTakahashii/dbd-pcap-analyzer
-
node.js を PC にインストールする
-
v12系統をインストールしてください
-
-
node_modules をインストール
dbd-pcap-analyzer
フォルダをコマンドプロンプトで開くnpm install
とコマンドプロンプトに入力して実行する
-
pcap ファイルを json で export したファイルを用意して data フォルダに入れる
これで準備完了です.
npm start
とコマンドプロンプトに入力して実行する- プログラムが終了すると,
results
フォルダに json ファイルが出力される.
このプログラムはエントリポイントで,ここからスタートします.
オブジェクトの型を定義しています.
Packet.ts
- pcap ファイルのパケット一つ分の方を定義しています
GroupedMaliciousRequest.ts
- 悪性トラフィック 1 セットごとにリクエストパケットとレスポンスパケットを集計したデータ型
この集計データは,入口サイトのアクセスによって発生したリダイレクト通信からマルウェア配布サイトまでのリダイレクト通信のパケットをリクエストパケットとレスポンスパケットに分けてグループ化したものです. 以下では説明のため,このグループの単位を,「悪性通信1フロー」と呼ぶことにします.
[
{
// 悪性通信1フロー分のパケットデータ(1つ目の悪性通信フロー)
// requests[i] と responses[i] は対になっている. 例えばリクエストパケット1番目の requests[0] のレスポンスは responses[0]である.
// したがって各悪性通信フローにおけるrequests.lengthとresponses.lengthは等しい.
requests: [ // 1つ目の悪性通信フローのリクエストパケット
{
// パケットデータ
'_index': '...',
...
},
{
},
],
responses: [ // 1つ目の悪性通信フローのレスポンスパケット
{
// パケットデータ
'_index': '...',
...
},
{
}
]
},
{
// 悪性通信1フロー分のパケットデータ(2つ目の悪性通信フロー)
requests: [
],
responses: [
]
},
]