SnortViz

Si queres enviar algun comentario o idea:
[ICO]NameLast modifiedSizeDescription

[DIR]Parent Directory  -  
[TXT]afterflow-1.5.9-fields.patch07-Sep-2008 03:38 480  
[TXT]agosto.html03-Sep-2008 15:47 9.1K 
[TXT]agosto_varios.html20-Aug-2008 21:37 5.5K 
[TXT]asn-ip-dport.csv07-Sep-2008 03:06 12K 
[   ]color.properties07-Sep-2008 03:30 282  
[IMG]mail.png13-Sep-2008 12:45 255  
[IMG]out.gif07-Sep-2008 03:34 368K 
[IMG]out2.gif07-Sep-2008 12:25 478K 
[IMG]out3.gif07-Sep-2008 13:05 799K 
[TXT]pais-asn-ip.csv07-Sep-2008 12:22 19K 
[TXT]septiembre.html07-Sep-2008 01:54 4.3K 

out.gif
Grafico de nodos, que muestra los ataques de Snort de Agosto.
ASN Origen (sistema autonomo), Direccion IP Origen y puerto destino.
El puerto destino tiene una coloracion que indica la cantidad de ataques
en escala.

Fue generado con "afterglow" y una modificacion para permitir mas campos
y colores (ver: afterflow-1.5.9-fields.patch y color.properties)

Se utilizo asn-ip-dport.csv para generar esta grafico.

asn-ip-dport.csv
Listado separado por comas que toma el "afterglow" como input.

Se genero un query en la base del Snort con las ips origen de los ataques y
los puertos destino luego con un script se buscaron los sistemas automonos
de cada ip, junto con los paises.

Formato:
Sistema autonomo [Pais], ip origen, port origen, cantidad de ataques al port.

4837 [CN],120.7.129.215,80 (tcp),16
4837 [CN],120.7.139.206,80 (tcp),18
16814 [AR],200.123.139.83,5060 (udp),62
...

out2.gif
Grafico de nodos, que muestra los ataques de Snort de Agosto.
PAIS, ASN (sistema autonomo), Direccion IP Origen.
La ip origen tiene coloracion por escalas que indida cantidad de ataques.

Se utilizo pais-asn-ip.csv para generar esta grafico.

Analizo el top de los paises por ataque.

 1 |            United States |  3428 |  43.70
 2 |                Argentina |  2383 |  30.38
 3 |                    China |   790 |  10.07 
 4 |       Russian Federation |   157 |  2.00
 5 |              Netherlands |   146 |  1.86
Se genero para los 3 primeros.

pais-asn-ip.csv
Formato:
Pais, ASN, IP Origen, Cantidad de ataques

AR,10481,201.213.213.122,5
US,36647,67.195.37.114,3
CN,4134,61.128.114.117,117
...

out3.gif
Grafico de nodos, que muestra los ataques de Snort de Agosto.
PAIS, ASN (sistema autonomo), Direccion IP Origen.
La ip origen tiene coloracion por escalas que indida cantidad de ataques.

Se utilizaron todos los paises vistos en los ataques.

agosto.html
Resumen visual de alertas por redes en las filas y dias en las columnas.
El color muestra la cantidad de ataques en escala.

agosto_varios.html
Similar al anterior con menos dias y una tabla por paises (demo para JRSL).