unified2

unified2 е чист-Python анализатор за IDS (мисля [Snort] (http://snort.org)) unified2 двоичен дневник формат.
Модулът позволява да обработим IDS трупи в двоичен "unified2" формат в питон обекти.
Той не решава правило документи за самоличност и не е писано да бъде заместител на barnyard2 или самата Snort в тази роля.
Основна цел е да се извлече за пакети данни от дневника, свързани с някои специално задейства (и решен / логнат отделно чрез други средства, например alert_syslog или alert_csv Snort модули) правило, така че аз не съм обръщал внимание на метаданни за обработка на събитие.
Модул не разполага C компоненти и не използва ctypes, така трябва да бъде сравнително портативен да езикови реализации без cPython.
<Силен> Format
Определение Format произлиза от Snort хедъри (SRC / sfutil / Unified2_common.h) чрез pyclibrary модул и се кешира в unified2 / _format.py файл.
По-нови дефиниции (да речем, ако се прибавят нови типове данни) могат да бъдат генерирани чрез провеждане на същия сценария на Unified2_common.h на Snort е:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; BZR клон LP: pyclibrary
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; CD pyclibrary
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; питон ... / unified2 / _format.py ... / snort-2.XYZ/src/sfutil/Unified2_common.h
<Силен> Монтаж
Това е обикновен пакет за Python 2.7 (не 3.X).
Използването на PIP е най-добрият начин:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % PIP инсталирате unified2
Ако го нямате, използвайте:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % Easy_install пип
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % PIP инсталирате unified2
Алтернативно виж също:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % Извиване https://raw.github.com/pypa/pip/master/contrib/get-pip.py | питон
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % PIP инсталирате unified2
Или, ако сте абсолютно трябва да:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % Easy_install unified2
Но, наистина не трябва да прави това.
Current-Git версия може да се инсталира по следния начин:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; % PIP инсталирате -Е "Git: //github.com/mk-fg/unified2.git#egg=unified2"
<Силен> Usage
Прост пример:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; внос unified2.parser
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; за EV, ev_tail в unified2.parser.parse ("/ Var / дневник / сумтене / snort.u2.1337060186"):
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; печат "Event: ', EV
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; ако ev_tail: "опашката Event: 'печат, ev_tail
Обект събитие тук е Dict на метаданни и "опашка", която може да бъде или петно ​​или подобен рекурсивно-разбор кортеж на метаданни-Dict и "опашката" (например за UNIFIED2_EXTRA_DATA).
unified2.parser.Parser интерфейс се илюстрира най-добре от unified2.parser.read функция:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; анализатор, buff_agg = Parser (), ''
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; докато True:
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; баба = parser.read (SRC)
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; ако не баба: счупят # EOF
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; buff_agg + = баба
& Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; & Nbsp; докато True:
                        buff_agg, EV = parser.process (buff_agg)
                        ако EV е None: почивка
                        добив EV
Идеята тук е, че този метод Parser.read трябва да се нарича с поток (например файл обект), връщайки се обаче много байта анализатор трябва да получи следващия parseable парчето на данни (един пакет, в случай на u2 дневник) или каквото и да може да се чете в момента, празен низ обикновено е индикация за EOF или може би без блокиране прочетете възвръщаемост.
Parser.process след това трябва да се нарича с натрупаната (от Parser.read призовава) буфер, връщането на първия пакет, който може да бъде анализиран от там (или None, ако буфер не е достатъчно голям) и останалата буферни данни (-разбор не).

<силни> Изисквания :

• Python