unified2

وunified2 هو محلل-بيثون النقي لIDS (اعتقد [الشخير] (http://snort.org)) unified2 تنسيق السجل ثنائي.
الوحدة تسمح لمعالجة IDS السجلات في ثنائي "unified2" شكل إلى أشياء الثعبان.
أنه لا حل هويات القاعدة وليس من المفترض أن تكون بديلا عن barnyard2 أو الشخير نفسها في هذا الدور.
الغرض الرئيسي هو لاستخراج حزمة بيانات من السجل، ويرتبط مع بعض على وجه الخصوص أثار (وحلها / تسجيل بشكل منفصل عن طريق وسائل أخرى، مثل alert_syslog أو alert_csv وحدات الشخير) القاعدة، لذلك أنا لم تدفع الكثير من الاهتمام لالفوقية الحدث المعالجة.
ليس لديها وحدة مكونات C ولا تستخدم ctypes، لذلك يجب أن تكون محمولة إلى حد ما إلى تطبيقات لغة غير سي بايثون.
شكل
ويستمد تعريف شكل من رؤوس الشخير (SRC / sfutil / Unified2_common.h) عن طريق وحدة pyclibrary ويتم التخزين المؤقت في ملف unified2 / _format.py.
تعريفات أحدث (مثلا، إذا أضيفت أنواع بيانات جديدة) يمكن توليدها عن طريق تشغيل البرنامج النصي نفسه على Unified2_common.h على الشخير في:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ فرع BZR ليرة لبنانية: pyclibrary
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ مؤتمر نزع السلاح pyclibrary
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ الثعبان ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
تركيب
انها حزمة العادية لبيثون 2.7 (لا 3.X).
باستخدام نقطة هو أفضل وسيلة:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ نقطة تثبيت unified2
إذا لم يكن لديك، استخدام:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ easy_install نقطة
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ نقطة تثبيت unified2
بدلا من ذلك نرى أيضا:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ حليقة https://raw.github.com/pypa/pip/master/contrib/get-pip.py | الثعبان
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ نقطة تثبيت unified2
أو، إذا كنت لا بد على الاطلاق:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ easy_install unified2
ولكن، هل حقا لا ينبغي أن تفعل ذلك.
النسخة الحالية-بوابة يمكن تثبيت مثل هذا:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ ٪ نقطة تثبيت -e "بوابة: //github.com/mk-fg/unified2.git#egg=unified2"
استعمال
بسيط سبيل المثال:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ unified2.parser استيراد
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ لEV، ev_tail في unified2.parser.parse ('/ فار / السجل / الشخير / snort.u2.1337060186'):
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ طباعة 'الحدث:'، EV
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ إذا ev_tail: "ذيل الحدث: 'الطباعة، ev_tail
كائن الحدث هنا هو ديكت من الفوقية و"ذيل"، والتي يمكن أن تكون إما سائل أو الصفوف (tuple) مماثلة تحليل متكرر من الفوقية-ديكت و "ذيل" (على سبيل المثال لUNIFIED2_EXTRA_DATA).
وأفضل طريقة لتوضيح اجهة unified2.parser.Parser بواسطة الدالة unified2.parser.read:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ محلل، محلل buff_agg = ()، ''
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ بينما صحيح:
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ برتقالي = parser.read (SRC)
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ إن لم يكن برتقالي: كسر # EOF
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ buff_agg + = برتقالي
على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ على & nbsp؛ بينما صحيح:
                        buff_agg، EV = parser.process (buff_agg)
                        إذا EV هو بلا: استراحة
                        العائد EV
الفكرة هنا هي أن طريقة Parser.read ينبغي أن تسمى مع تيار (مثل كائن ملف)، والعودة ولكن العديد من وحدات البايت محلل يحتاج للحصول على قطعة parseable القادمة من البيانات (حزمة واحدة، في حالة سجل U2) أو أيا كان يمكن قراءة في هذه اللحظة، سلسلة فارغة عادة مؤشرا على عودة الرد باستخدام القوة أو ربما عدم عرقلة القراءة.
Parser.process ثم ينبغي أن تسمى مع المتراكمة (التي تدعو Parser.read) عازلة، والعودة الحزمة الأولى التي يمكن تحليل من هناك (أو لا يوجد، إذا عازلة ليست كبيرة بما فيه الكفاية) والبيانات العازلة (غير معرب) المتبقي.

المتطلبات:

بيثون