Joy es un paquete de software basado en libpcap con licencia BSD para extraer características de datos de tráfico de red en vivo o archivos de captura de paquetes (pcap), utilizando un modelo orientado al flujo similar al de IPFIX o Netflow, y luego representa estas características de datos en JSON. También contiene herramientas de análisis que se pueden aplicar a estos archivos de datos. Joy puede utilizarse para explorar datos a escala, especialmente datos de seguridad y relevantes para amenazas.

JSON se utiliza para hacer que la salida sea fácilmente consumible por las herramientas de análisis de datos. Si bien los archivos de salida JSON son algo detallados, son razonablemente pequeños y responden bien a la compresión.
Joy se puede configurar para obtener datos intraflujo, es decir, datos e información sobre eventos que ocurren dentro de un flujo de red, incluyendo:

  • la secuencia de longitudes y tiempos de llegada de paquetes IP, hasta un cierto número configurable de paquetes.
  • la distribución de probabilidad empírica de los bytes dentro de la porción de datos de un flujo, y la entropía derivada de ese valor,
  • la secuencia de longitudes y tiempos de llegada de los registros TLS,
  • otros datos TLS no cifrados, como la lista de conjuntos de cifrados ofrecidos, el conjunto de cifrado seleccionado, la longitud del campo clientKeyExchange y las cadenas de certificado del servidor,
  • Nombres DNS, direcciones y TTLs,
  • Elementos del encabezado HTTP y los primeros ocho bytes del cuerpo HTTP, y
  • El nombre del proceso asociado con el flujo, para los flujos que se originan o terminan en el host en el que se está ejecutando pcap.
Joy está diseñado para uso en investigación de seguridad, análisis forense y para el monitoreo de redes (a pequeña escala) para detectar vulnerabilidades, amenazas y otros comportamientos no autorizados o no deseados. Los investigadores, administradores, evaluadores de penetración y equipos de operaciones de seguridad pueden hacer un buen uso de esta información, para la protección de las redes que se monitorean y, en el caso de vulnerabilidades, para el beneficio de la comunidad en general a través de una postura defensiva mejorada. Al igual que con cualquier herramienta de monitoreo de red, Joy podría potencialmente ser mal utilizada; no lo use en ninguna red de la que usted no sea el propietario o el administrador.
El flujo, en la psicología positiva, es un estado en el que una persona que realiza una actividad está totalmente inmersa en un sentimiento de enfoque enérgico, participación profunda y alegría. Este segundo significado inspiró la elección del nombre para este paquete de software.
Joy es un software alfa / beta; Esperamos que lo use y se beneficie de él, pero entendemos que no es adecuado para uso de producción.
TLS huella digital
Recientemente hemos lanzado la base de datos de huellas digitales TLS de código abierto más grande e informativa . Entre otras características, nuestro enfoque se basa en trabajos anteriores al ser completamente automatizado y anotar las huellas digitales de TLS con mucha más información. Hemos construido un conjunto de herramientas de Python para habilitar la aplicación de esta base de datos, así como la generación de nuevas bases de datos con la ayuda de Joy. Para obtener más información, consulte la documentación de huellas dactilares de TLS .
Relación con Cisco ETA
Joy ha ayudado a respaldar la investigación que allanó el camino para el Análisis de tráfico encriptado (ETA) de Cisco, pero no se integra directamente en ninguno de los productos o servicios de Cisco que implementan ETA. Los clasificadores en Joy fueron entrenados en un pequeño conjunto de datos hace varios años, y no representan los métodos de clasificación o el rendimiento de ETA. El propósito de esta función es permitir que los investigadores de la red entrenen e implementen rápidamente sus propios clasificadores en un subconjunto de las características de datos que produce Joy. Para obtener más información sobre la capacitación de su propio clasificador, consulte saltUI / README o contacte a joy-users@cisco.com .

Créditos
Este paquete fue escrito por David McGrew, Blake Anderson, Philip Perricone y Bill Hudson {mcgrew, blaander, phperric, bhudson} @cisco.com de Cisco Systems Advanced Security Research Group (ASRG) y Security and Trust Organization (STO).

Versión 4.3.0

  • Añade soporte IPv6 a Joy y libjoy
  • La colección y exportación de IPFix solo admiten IPv4
  • NFv9 solo soporta IPv4
  • La anonimización solo admite direcciones IPv4
  • El etiquetado de subred solo admite direcciones IPv4

Versión 4.2.0

  • Vuelva a escribir joy.c para usar la biblioteca libjoy
  • Joy.c actualizado para utilizar subprocesos múltiples para el procesamiento de flujo
  • Pruebas unitarias actualizadas y pruebas de python para reflejar los nuevos cambios de código
  • Se eliminaron las entrañas del proceso de actualización para preparar la reescritura.
  • Se corrigió un error al procesar varios archivos en la línea de comandos
  • Otras correcciones de errores menores

Versión 4.0.3

  • Soporte añadido para make install para Centos

Versión 4.0.2

  • Añadir soporte para huellas dactilares

Versión 4.0.1
Nos complace anunciar la versión 4.0.1 del paquete, que tiene estas características:

  • Agregue API adicionales para el procesamiento de la aplicación principal de Registros de flujo y características de datos
  • Se corrigió la retransmisión de TCP y la detección fuera de orden.
  • Mejor identificación del paquete de IDP
  • Se corrigieron algunos problemas de uso de memoria
  • Errores menores arreglados
  • Código muerto eliminado

Versión 4.0.0
Nos complace anunciar la versión 4.0.0 del paquete, que tiene estas características:

  • Añadir soporte para la construcción con autotools. ./configure; make make clean; make

Versión 3.0.0
Nos complace anunciar la versión 3.0.0 del paquete, que tiene estas características:

  • Código de infraestructura JOY modificado para ser seguro para subprocesos.
    • Permitido soportar múltiples hilos de trabajo para el procesamiento de paquetes.
    • Cada subproceso de trabajo utiliza su propio archivo de salida.
    • Se eliminaron las variables globales para Config.
    • Infraestructura de código modificado para utilizar la estructura de configuración.
  • Modificó el sistema Makefile para construir la infraestructura JOY como una biblioteca estática y compartida.
  • Implementé una API para utilizar la biblioteca JOY (joy_api. [Hc]).
  • Implementó un esquema de integración de Procesamiento de paquetes vectoriales para utilizar la infraestructura nativa de VPP al crear esa integración.
  • Creé 2 programas de prueba API, joy_api_test.c y joy_api_test2.c.
  • Se modificaron los programas de prueba existentes para vincularlos con la biblioteca JOY estática en lugar de volver a compilar el código de infraestructura.
  • Versiones modificadas para usar las convenciones del módulo de seguridad común (CSM).
  • Se modificó build_pkg para aceptar la versión del paquete en la línea de comandos.
  • Se limpiaron los errores de cobertura y las advertencias.
  • Varias correcciones de errores.

Versión 2.0
Nos complace anunciar la versión 2.0 del paquete, que tiene estas características:

  • El esquema JSON se ha actualizado para que esté mejor organizado, sea más legible y más fácil de buscar (al poner palabras clave de búsqueda como los nombres JSON),
  • La nueva herramienta de detección reemplaza la consulta / joyq, y trae nuevas funcionalidades como: huella dactilar,
  • Documentación muy mejorada, que cubre las herramientas de alegría y análisis, ejemplos y el esquema JSON (ver cómo se usa ).

Quick Start
Joy se ha ejecutado y probado con éxito en Linux (Debian, Ubuntu, CentOS y Raspbian), Mac OS X y Windows. El sistema se ha construido con gcc y GNU make, pero también debería funcionar con otros entornos de desarrollo.
Ir a la Wiki para una guía sobre la construcción.

Fuente: kitploit.com

Compartir