unified2

unified2 바이너리 로그 형식 unified2 IDS에 대한 순수 파이썬 파서는 (생각 [스 노트 (http://snort.org))입니다.
모듈은 파이썬 객체로 진 "unified2"형식의 IDS 로그를 처리 할 수​​ 있습니다.
이 규칙 ID를 해결하지 않고 그 역할 barnyard2 또는 앞장서​​고 자체를 대체하기위한 것이 아닙니다.
주요 용도가 트리거 일부 특정과 관련된 로그에서 패킷 데이터를 추출하는 것입니다 규칙 (및 해결을 / 다른 수단, 예를 들면 인 alert_syslog 또는 alert_csv 흡입 모듈을 통해 개별적으로 기록), 그래서 처리 이벤트 메타 데이터에 많은 관심을 지불하지 않았습니다.
모듈은 C 성분이 없으며하는 ctypes를 사용하지 않기 때문에 비 CPython과 언어 구현에 상당히 휴대해야한다.
체재
형식 정의는 pyclibrary 모듈을 통해 Snort는 헤더 (SRC / sfutil / Unified2_common.h)에서 파생 및 _format.py / unified2 파일에 캐시됩니다.
새로운 정의 (새로운 데이터 유형을 첨가하면 말하자면)의 콧김 Unified2_common.h에 동일한 스크립트를 실행함으로써 생성 될 수있다 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 BZR 지점 LP : pyclibrary
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 CD를 pyclibrary
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 파이썬 ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
설치
파이썬 2.7 (안 3.X)에 대한 일반 패키지입니다.
PIP를 사용하면 가장 좋은 방법입니다 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % 핍 unified2 설치
당신이 그것을이없는 경우, 사용
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % easy_install을 핍
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % 핍 unified2 설치
또한 참조 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % 컬 https://raw.github.com/pypa/pip/master/contrib/get-pip.py | 파이썬
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % 핍 unified2 설치
또는, 당신은 절대적으로해야합니다 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % easy_install을 unified2
그러나, 당신은 정말 그렇게 안된다.
전류 자식 버전은 다음과 같이 설치할 수 있습니다 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 % 핍 -e 설치 '자식을 : //github.com/mk-fg/unified2.git#egg=unified2'
용법
간단한 예 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 수입 unified2.parser
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 unified2.parser.parse에서 EV, ev_tail에 대한 ( '는 / var / / 흡입 / snort.u2.1337060186 로그') :
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 인쇄 '이벤트', EV
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 인쇄 '이벤트 꼬리 :'ev_tail 경우, ev_tail
이벤트 객체는 여기에 BLOB 또는 메타 데이터 DICT 비슷한 재귀 구문 분석 튜플와 "꼬리"(UNIFIED2_EXTRA_DATA 예 :)이 될 수 있습니다 메타 데이터의 DICT와 "꼬리"이다.
unified2.parser.Parser 인터페이스는 가장 unified2.parser.read 기능에 의해 설명된다 :
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 파서, buff_agg = 파서 () ','
& NBSP; & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 진정한 동안 :
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 버프 = parser.read (SRC)
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 버프하지 않을 경우 : 휴식 # EOF
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 buff_agg + = 버프
& NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 & NBSP; & nbsp; & nbsp; 확인 진정한 동안 :
                        buff_agg, EV = parser.process (buff_agg)
                        브레이크 : EV는 없음 경우
                        항복 EV
여기에 아이디어 Parser.read 방법이 있지만 바이트 파서 (U2 로그의 경우 하나의 패킷) 데이터의 다음의 구문 분석 덩어리를 얻을 필요가 또는 무엇이든 읽을 수 반환 (예를 들어 파일 객체) 스트림을 호출 할 필요가 있다는 것입니다 순간, 빈 문자열은 일반적으로 EOF 아니면 논 블로킹 (non-blocking) 읽기 반환의 표시입니다.
및 (비 구문 분석) 버퍼의 나머지 데이터 (버퍼가 충분하지 않은 경우, 또는 없음) Parser.process 다음 거기에서 해석 할 수없는 첫 번째 패킷을 반환, 축적 (Parser.read 호출에 의해) 버퍼로 호출해야합니다.

이 요구 사항 :

이 파이썬