در unified2 تجزیه-پایتون خالص برای IDS (فکر می کنم [خروپف] (http://snort.org)) unified2 فرمت ورود باینری است.
ماژول اجازه می دهد تا به روند IDS سیاهههای مربوط در دودویی "unified2" فرمت تبدیل به اشیاء پایتون.
این کار شناسه قانون حل و فصل نیست و به معنی این نیست که یک جایگزین برای barnyard2 یا خروپف خود را در آن نقش.
هدف اصلی این است که برای استخراج داده بسته از ورود به سیستم، همراه با برخی از خاص باعث حکومت (و حل و فصل / به طور جداگانه از طریق وسایل دیگر، به عنوان مثال alert_syslog یا alert_csv ماژول خروپف وارد سیستم شوید)، بنابراین من توجه زیادی به ابرداده رویداد پردازش پرداخت نیست.
ماژول اجزای C ندارد و ctypes استفاده نمی کند، بنابراین باید نسبتا قابل حمل به پیاده سازی زبان غیر سیپایتون باشد.
قالب
تعریف قالب از هدر خروپف (SRC / sfutil / Unified2_common.h) از طریق ماژول pyclibrary مشتق شده و در فایل unified2 / _format.py ذخیره سازی.
تعاریف جدیدتر (می گویند، اگر نوع داده جدید اضافه شد) را می توان با اجرای اسکریپت در همان Unified2_common.h خروپف را ایجاد:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ شاخه bzr LP: pyclibrary
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ pyclibrary سی دی
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ پایتون ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
نصب
این یک بسته به طور منظم برای پایتون 2.7 (نه های 3.x) است.
با استفاده از پیپ بهترین راه این است:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ پیپ نصب unified2
اگر شما آن را ندارید، استفاده:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ easy_install پیپ
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ پیپ نصب unified2
روش دیگر نیز نگاه کنید به:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ حلقه https://raw.github.com/pypa/pip/master/contrib/get-pip.py | پایتون
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ پیپ نصب unified2
یا، اگر شما کاملا باید:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ easy_install unified2
اما، شما واقعا باید انجام دهید که نیست.
نسخه فعلی، دستگاه گوارش را می توان شبیه به این نصب:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ ٪ پیپ نصب -e 'دستگاه گوارش: //github.com/mk-fg/unified2.git#egg=unified2'
استفاده
مثال ساده:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ واردات unified2.parser
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ برای EV، ev_tail در unified2.parser.parse ('/ var / ورود / خروپف / snort.u2.1337060186'):
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ چاپ 'رویداد:'، EV
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ اگر ev_tail: 'دم رویداد:' چاپ، ev_tail
شی رویداد در اینجا DICT از ابرداده و "دم"، که هم می تواند لکه یا یک تاپل به صورت بازگشتی-تجزیه مشابه از ابرداده-DICT و "دم" (به عنوان مثال برای UNIFIED2_EXTRA_DATA) است.
رابط unified2.parser.Parser بهترین های تابع unified2.parser.read نشان داده شده:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ تجزیه کننده، buff_agg = تجزیه کننده ()، ''
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ در حالی که درست است:
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ چرم گاومیش = parser.read (SRC)
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ اگر از چرم گاومیش نمی: شکستن # EOF
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ buff_agg + = چرم گاومیش
و nbsp؛ & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ از & nbsp؛ در و nbsp؛ در حالی که درست است:
buff_agg، EV = parser.process (buff_agg)
استراحت: اگر EV هیچ است
EV عملکرد
ایده این است که روش Parser.read باید با یک جریان به نام (به عنوان مثال یک شی فایل)، بازگشت با این حال بسیاری از بایت تجزیه کننده نیاز به رسیدن تکه parseable بعدی از داده (یک بسته، در صورت ورود U2) و یا هر آنچه را می توان به عنوان خوانده شده در حال حاضر، رشته خالی است معمولا نشانه ای از بازگشت به عنوان خوانده شده EOF و یا شاید غیر مسدود کردن.
Parser.process سپس باید با انباشته (توسط Parser.read می نامد) بافر نامیده می شود، از بازگشت اولین بسته است که می تواند از وجود دارد تجزیه (و یا هیچ، اگر بافر است به اندازه کافی بزرگ نیست) و باقی مانده داده (-تجزیه غیر) بافر شده است.
مورد نیاز:
پایتون
نظر یافت نشد