Módulo de Generación de Reportes Gráficos de una Honeynet a partir de los logs tcpdumps



Descargar 292,64 Kb.
Página4/5
Fecha de conversión05.08.2017
Tamaño292,64 Kb.
1   2   3   4   5



      1. Archivos de entrada



  • Cada uno de los archivos tcpdumps se almacenan en Amazon S3 para su posterior procesamiento. Hadoop nos provee de métodos para leer archivos de texto. Sin embargo, para poder procesar cada uno de los pcap almacenados en formato binario, fue necesario crear una clase que extienda de FileInputFormat y que pueda leer los datos almacenados en binario. A esta clase se la denominó HoneyFileInputFormat y permite leer paquetes almacenados en archivos pcap, sin permitir que estos sean divididos en el proceso.



      1. El ambiente EC2



  • Lo componen básicamente dos tareas, la ejecución de los mappers y la ejecución de los reducers.



  • Cada mapper recibe un archivo de entrada y lo parsea de tal modo que pueda obtener los datos de interés. Es decir, en cada mapper se toma cada uno de los paquetes que se encuentran registrados en el archivo de entrada y se le extraen los datos necesarios para el procesamiento. Como se manejan cuatro reportes diferentes, se ha definido cuatro mappers independientes para cada uno de ellos, descritos a continuación.

  • Para los Reportes Gráficos por Protocolo por cada mes, es necesario conocer el protocolo de comunicación que se utilizó durante la transmisión de datos. De igual forma, la fecha de captura del paquete, y el tamaño del mismo. Cada uno de estos datos permitirá en lo posterior realizar un correcto filtrado de información.






    Figura 5.1.2.1 Formato de salida del Mapper de Protocolo por cada mes




  • Por cada paquete que se parsea en el mapper, se forma un registro con el formato que se presenta en la Figura 5.1.2-1, el cual detalla como está formado el modelo clave/valor. Dentro de la clave, se encuentran el protocolo y la fecha de captura, mientras que en el valor se encuentran un contador y el tamaño en bytes del paquete.



  • En el caso de los Reportes Gráficos de Tráfico por País, se necesita conocer primero la IP desde la cual se envió dicho paquete. Una vez que se obtiene la IP, se procede a buscar el País correspondiente con ayuda de la librería InetAddressLocator, capaz de transformar la dirección IP en un número entero, y de esta manera poder verificar la procedencia del paquete, adicional al dato del País de procedencia, también se extraen la fecha de captura y el tamaño del paquete.








    Figura 5.1.2.2 Formato de salida del Mapper de Tráfico por País




  • Por cada paquete que se parsea en el mapper, se forma un registro con el formato que se presenta en la Figura 5.1.2-2, el cual detalla como está formado el modelo clave/valor. Dentro de la clave, se encuentran el país de procedencia y la fecha de captura, mientras que en el valor se encuentran un contador y el tamaño en bytes del paquete.



  • Por otra parte, para los Reportes Gráficos de Tráfico por IP, es requerido conocer la IP fuente del paquete, así como la fecha de captura y el tamaño del mismo.








  • 1   2   3   4   5


    La base de datos está protegida por derechos de autor ©absta.info 2016
    enviar mensaje

        Página principal