unified2 הוא מנתח טהור פייתון עבור IDS (חושב [Snort] (http://snort.org)) unified2 פורמט יומן בינארי.
המודול מאפשר לעבד יומני IDS בפורמט "unified2" בינארי לאובייקטים פיתון.
זה לא פותר את תעודות זהות של שלטון, והוא לא אמור להיות תחליף לbarnyard2 או Snort עצמו בתפקיד זה.
מטרה העיקרית היא לחלץ נתוני מנות מהיומן, הקשורים בחלק מסוים מופעל (ונפתר / מחובר בנפרד באמצעים אחרים, למשל alert_syslog או alert_csv מודולים נחירה) שלטון, ולכן אני לא הקדשתי תשומת לב לאירוע metadata עיבוד.
מודול אין רכיבי C ואינו משתמש בctypes, כך צריך להיות די נייד ליישומי שפה-cPython שאינם.
פורמט
הגדרת פורמט נגזרת מכותרות Snort (src / sfutil / Unified2_common.h) באמצעות מודול pyclibrary ומטמון בקובץ unified2 / _format.py.
הגדרות חדשות יותר (נניח, אם סוגי נתונים חדשים נוספו) יכול להיות שנוצר על ידי ההפעלה אותו התסריט בUnified2_common.h של Snort:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; סניף bzr lp: pyclibrary
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; pyclibrary cd
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; פיתון ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
התקנה
זה חבילה רגילה לפייתון 2.7 (לא 3.X).
באמצעות פיפס הוא הדרך הטובה ביותר:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % פיפס להתקין unified2
אם אין לך את זה, להשתמש:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install פיפס
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % פיפס להתקין unified2
לחלופין ראה גם:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % תלתל https://raw.github.com/pypa/pip/master/contrib/get-pip.py | פיתון
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % פיפס להתקין unified2
או, אם אתה ממש חייב:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % Easy_install unified2
אבל, אתה באמת לא צריך לעשות את זה.
ניתן להתקין גרסה הנוכחי-git כמו זה:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; % פיפס להתקין -e 'git: //github.com/mk-fg/unified2.git#egg=unified2'
שימוש
דוגמא פשוטה:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; unified2.parser יבוא
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; לev, ev_tail בunified2.parser.parse ('/ var / log / נחירה / snort.u2.1337060186'):
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; "אירוע:" הדפסה, ev
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; אם ev_tail: 'זנב אירוע: "הדפסה, ev_tail
אובייקט אירוע כאן הוא dict של מטה-נתונים ו" זנב ", אשר יכולה להיות בועה או tuple באופן רקורסיבי-מנותח דומה של מטה-dict ו" זנב" (למשל לUNIFIED2_EXTRA_DATA).
ממשק unified2.parser.Parser מודגם הטוב ביותר על ידי פונקצית unified2.parser.read:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; מנתח, buff_agg = Parser (), ''
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; בעוד אמיתי:
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; חובב = parser.read (src)
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; אם לא להבריק: לשבור # EOF
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; buff_agg + = חובב
& Nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; & nbsp; בעוד אמיתי:
buff_agg, ev = parser.process (buff_agg)
אם ev הוא ללא: הפסקה
ev תשואה
רעיון כאן הוא ששיטת Parser.read צריך להיקרא עם זרם (למשל אובייקט קובץ), חוזרת זאת מנתח בתים רבים צריך לקבל את הנתח הבא parseable של נתונים (מנה אחת, במקרה של יומן U2) או מה שניתן לקרוא באותו הרגע, מחרוזת ריקה היא בדרך כלל סימן לחזרה לקרוא EOF או אולי ללא חסימה.
Parser.process אז צריך להיקרא עם חיץ שנצבר (בParser.read קורא), חוזר המנות הראשונות שיכול להיות מנותחת משם (או בכלל לא, אם החיץ הוא לא גדול מספיק) ונותר נתונים חיץ (-מנותח שאינם).
דרישות :
- Python
תגובות לא נמצא