Joy：捕获数据包、分析网络流量数据、网络取证及安全监控工具

Joy是一个捕获数据包、分析网络流量数据、网络研究取证及安全监控的工具。
概述
Joy是一个BSD许可的基于libpcap的软件包，用来从实时网络流量或捕获的数据包文件提取数据特征，使用类似于IPFIX或者Netflow的流量导向模式，之后在JSON中表现这些数据特征。Joy还包括了一个可以应用这些文件的分析工具。Joy还能被用来探索大规模数据，尤其是跟安全和威胁有关的数据。
JSON是为了使数据分析工具的数据输出更简单。当JSON输出文件非常长时，JSON文件可以非常小，并且对压缩的响应很好。
Joy可以被配置来获取intraflow数据，这些数据是在网络流量中出现的事件的数据和信息，包括：
序列的长度、IP包到达的时间、数据包的可配置数目；
一个刘的数据部分中字节的经验概率分布以及这个值导出的熵；
序列的长度和TLS记录到达的时间；
其他非加密TLS数据，比如提供密码组的列表、被选择的密码租、clientKdyExchange字段的长度；
与流相关的进程名，正在运行的pcap主机上中为流发起或终止。
Joy是用户安全研究、取证和小规模网络监测来进行漏洞检测、威胁检测、非法行为检测和有害行为检测。研究人员、管理人员、渗透测试人员和安全运营团队可以很好的利用这些信息，保护被监测的网络免受攻击，在某些漏洞情况下，可以通过提高防御姿态保证广泛社区的利益。作为网络监测工具，Joy可能被滥用，所以当你不是管理员或者网络所有人时，请不要使用Joy。
在正向心理学中，流是一种状态，一个人执行一个活动，完全沉入近一种积极性十足、深入参与、快乐的感觉。
Joy是alpha/beta软件，我们希望你使用它并从中受益，但是你要明白，它不适合生产。
信用
这个包是由来自思科高级安全研究小组（ASRG）的David McGrew和Blake Anderson {mcgrew,blaander}@cisco.com 所写。
快速开始
构建
Joy已经成功的在Linux(Debian, Ubuntu和CentOS)和Mac OSX上被测试和运行。这两种系统都使用gcc和GNU make构建，但是它应该也可以在其他开发环境中正常运行。
首先，从github上下载包，并切换到joy所在的目录；
在主目录中运行 make 来构建包：
[joy]$ make
程序被编译、连接、清除、复制到合适的主目录下。它还会执行测试脚本和一个单元测试程序。
用来从pcap文件或者实时数据捕获提取的数据特征的主程序是pcap2flow，它在src/subdictory下。它build成功后被复制到joy主目录下。它可以在该路径下运行或安装，这样它会在Linux或Mac OSX上作为守护程序自动运行。
运行和配置
为了了解pacp2flow是如何被配置的，读取其中一个配置文件（linux.cfg或macosx.cfg）。在脱机模式下处理pcap文件，运行：
[joy]$ ./pcap2flow [ OPTIONS ] filename [ filename2 ... ]
e.g.
[joy]$ ./pcap2flow bidir=1 output=data.json filename
为了在练级模式下运行数据包捕获，使用相同的命令格式，但是要包括一个interface=命令的options，并且省却命令行中的文件名。
e.g.
[joy]$ sudo ./pcap2flow interface=eth0 bidir=1 output=data.json
它有很多命令行选项，所以我们不在命令行中使用所有选项，你可能想要程序读取一个配置文件。这样的两个分布式文件，linux.cfg和macosx.cfg。如果你想要改变程序的默认值（为了准确的捕捉你感兴趣的数据，你可能会这样做），之后复制这份配置文件。
使用不同名称创建一个本地副本，防止Joy更新时，你的配置文件被破坏。
安装
要在系统上安装这个软件，你需要先build它。运行install-sh脚本（root或者使用sudo）来安装这个包。
[joy]$ sudo ./install-sh
如果你运行不带参数的脚本，那么默认时，配置文件就会被安装到/etc/目录。要安装一个不同的陪皮质文件，你要使用-c来安装脚本：
[joy]$ sudo ./install-sh -c local-config-file.cfg
你还可以配置匿名地址，它包含内部子网文件。这些子网的默认文件是internal.net；你可以使用-a来更改配置。同理，你可以更改IP地址的watchfile（使用-w）或者更改用于通过scp上传文件的SSH私钥（使用-k）。使用-h来获得帮助、查看所有安装说明。
文件
手册将作为包的一部分被自动建立、安装。请参阅文件pcap2file.1或者之后被运行的install-sh脚本，通过"man pcap2flow"进入手册。
测试
运行脚本./pcap2flow_test.sh和src/unit_test来测试程序。这些程序都会指出命令行执行成功还是失败。