OSSIM-agent源代码分析(十)

最新推荐文章于 2024-08-16 20:01:56 发布
最新推荐文章于 2024-08-16 20:01:56 发布
阅读量923 收藏
点赞数
文章标签: 服务器 网络 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aunt_y/article/details/121894637
版权

2021SC@SDUSC

SessionParser.py
OSSIM-agent源代码分析(十)

简述

OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。

Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session对象存储特定用户会话所需的属性及配置信息。这样,当用户在应用程序的Web页之间跳转时,存储在Session对象中的变量将不会丢失,而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时,如果该用户还没有会话,则Web服务器将自动创建一个 Session对象。当会话过期或被放弃后,服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如,如果用户指明不喜欢查看图形,就可以将该信息存储在Session对象中。

作为使用cs模型的OSSIM,session的处理和控制就至关重要了

相关代码

初始导包

import re
from sets import Set
import sgmllib
import socket

SessionParser类

class SessionParser(sgmllib.SGMLParser):

解析给定字符串函数

def parse(self, s):
       
        self.feed(s)
        self.close()

初始化函数,将ip、端口、端口组等变量初始化

 def __init__(self, verbose=0):

        sgmllib.SGMLParser.__init__(self, verbose)
        self.starting_description = 0
        self.inside_table_element = 0
        self.inside_table_row = 0
        self.in_session = 0
        self.td_count = 0
        self.seen  = 0

        self.sessions = []
        self.session_num = 0

        self.queried_ip = ""

        self.dst_port_group = {}
        self.src_port_group = {}

        self.source_ip = ""
        self.source_port = ""
        self.dest_ip = ""
        self.dest_port = ""
        self.data_sent = 0
        self.data_rcvd = 0
        self.active_since = ""
        self.last_seen = ""
        self.duration = 0
        self.inactive = 0

时间处理函数,通过正则表达式,将只有秒,时分秒,日期时分秒分开处理

    def tosecs(self, data):

        
        if data.endswith('sec'):
            data = data.split(' ', 1)[0]

   
        elif data.__contains__('day'):
            result = re.findall('(\d+) days? (\S+)', data)
            (days, time) = result[0]
            seconds = int(days) * 86400

            dt = time.split(':')
            seconds += int(dt.pop())

            try:
                seconds += seconds + int(dt.pop()) * 60
                seconds += seconds + int(dt.pop()) * 3600

            except IndexError:
                pass
            data = str(seconds)

 
        else:
            dt = data.split(':')
            seconds = int(dt.pop())

            try:
                seconds += int(dt.pop()) * 60
                seconds += int(dt.pop()) * 3600

            except IndexError:
                pass
            data = str(seconds)

        return data

设置td开始函数

def start_td(self, attributes):
        self.td_count += 1
        self.inside_table_element = 1

设置td结束函数

    def end_td(self):
        self.inside_table_element = 0
        self.seen = 0

设置tr开始函数

    def start_tr(self, attributes):
        self.inside_table_row = 1

设置tr结束函数,同时如果session和ip都存在,则将将ip、端口等数据记录在tmp中,保存于日志中

    def end_tr(self):
        self.inside_table_row = 0
        self.td_count = 0

        if self.in_session and self.source_ip:
            self.session_num += 1
            tmp = "%s:%s --> %s:%s (%f %f) duration: %s" % (self.source_ip,self.source_port,self.dest_ip,self.dest_port, self.data_sent, self.data_rcvd, self.duration)
            self.sessions.append(tmp)

设置a开始函数,如果name为href且session存在则设置match

    def start_a(self, attributes):
        self.inside_table_row = 1
        for name, value in attributes:
            if name == "href" and self.in_session:
                matches = re.findall("\d+\.\d+\.\d+\.\d+",value)

                if len(matches) > 0:
                    if self.td_count is 1:
                        self.source_ip = matches[0]

                    elif self.td_count is 2:
                        self.dest_ip = matches[0]

数据设置函数,如果ip未设置,则通过matches,来补充ip设置

def handle_data(self, data):
        if self.queried_ip is "":
            matches = re.findall("(\d+\.\d+\.\d+\.\d+)",data)

            if len(matches) > 0:
                self.queried_ip = matches[0]

根据data的类型,设置对应的session标志

        if data.__contains__("Active TCP/UDP Sessions"):
            self.in_session = 1

        if data.__contains__("The color of the host"):
            self.sessions.append("NumSessions:%d" % int(self.session_num))
            self.in_session = 0
            source_sessions = 0
            dest_sessions = 0

通过sess,清洗session中的各个数据

 for sess in self.sessions:
                src_str = "^%s:.*" % self.queried_ip
                dst_str = "^\d+\.\d+\.\d+\.\d+:\S+\s+-->\s+%s:.*" % self.queried_ip
                src_sess = "^%s:\S+\s+-->\s+(\d+\.\d+\.\d+\.\d+):(\S+)" % self.queried_ip
                dst_sess = "^(\d+\.\d+\.\d+\.\d+):\S+\s+-->\s+%s:(\S+)" % self.queried_ip

根据session重新设置matches

  if re.findall(src_str, sess):
                    source_sessions += 1

                if re.findall(dst_str, sess):
                    dest_sessions += 1
                matches = re.findall(src_sess, sess)

再次根据matches,设置端口及端口组

 if len(matches) > 0:
                    if matches[0][1] in self.src_port_group:
                        self.src_port_group[matches[0][1]].add(matches[0][0])

                    else:
                        self.src_port_group[matches[0][1]] = Set()
                        self.src_port_group[matches[0][1]].add(matches[0][0])
                matches = re.findall(dst_sess, sess)

                if len(matches) > 0:
                    if matches[0][1] in self.dst_port_group:
                        self.dst_port_group[matches[0][1]].add(matches[0][0])

                    else:
                        self.dst_port_group[matches[0][1]] = Set()
                        self.dst_port_group[matches[0][1]].add(matches[0][0])

            self.sessions.append("SessionsAsSource:%s" % source_sessions)
            self.sessions.append("SessionsAsDest:%s" % dest_sessions)

根据端口,添加session的数据

      for port in self.src_port_group:
                self.sessions.append("UniqPort%sAsSourceSessions:%d" % (port, len(self.src_port_group[port])))

            for port in self.dst_port_group:
                self.sessions.append("UniqPort%sAsDestSessions:%d" % (port, len(self.dst_port_group[port])))

处理相关的端口和端口组的流量,并记录其对应的时间

        if self.inside_table_element and self.in_session:
            if self.td_count <= 2:
                matches = re.findall(":(\w+)",data)

                if len(matches) > 0:
                    try:
                        port = socket.getservbyname(matches[0])

                    except:
                        port = matches[0]

                    if self.td_count is 1:
                        self.source_port = port

                    elif self.td_count is 2:
                        self.dest_port = port

            elif self.td_count is 3:
                if self.seen == 0:
                    self.data_sent = float(data)
                    self.seen = 1

                else:
                    if data.__contains__("KB"):
                        self.data_sent *= 1024

                    elif data.__contains__("MB"):
                        self.data_sent *= 1024 * 1024

                    elif data.__contains__("GB"):
                        self.data_sent *= 1024 * 1024 * 1024

                    self.seen = 0

            elif self.td_count is 4:
                if self.seen == 0:
                    self.data_rcvd = float(data)
                    self.seen = 1

                else:
                    if data.__contains__("KB"):
                        self.data_rcvd *= 1024

                    elif data.__contains__("MB"):
                        self.data_rcvd *= 1024 * 1024

                    elif data.__contains__("GB"):
                        self.data_rcvd *= 1024 * 1024 * 1024

                    self.seen = 0

            elif self.td_count is 5:
                self.active_since = data

            elif self.td_count is 6:
                self.last_seen = data

            elif self.td_count is 7:
                self.duration = self.tosecs(data)

            elif self.td_count is 8:
                self.inactive = self.tosecs(data)

获取session函数

    def get_sessions(self):
        return self.sessions
飞鸡炸弹
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
OSSIM-agent源代码分析(二)
aunt_y的博客
10-17 253
2021SC@SDUSC OSSIM-agent源代码分析(二) 1、简述 Event Handler的主要任务是映射数据源插件采集的事件到SIEM实例警报的OSSIM标准化事件格式。为了执行这样的过程,原始消息经历由RAW LOG转换为现有归一化数据字段格式的一个转变;我们将这些机制表示为“归一化Normalization”和“OSSIM消息” 2、Agent.py源码分析 loadAliases函数分析 主要功能:加载别名配置文件 进行配置文件引入及相关类的声明 self.__aliases = Ali
OSSIM-agent源代码分析(六)
aunt_y的博客
11-14 403
2021SC@SDUSC Watchdog.py OSSIM-agent源代码分析(六) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程 其中对于各种进程插件的保护监控处理就非常关键,watchdog则是负责这部分的函数代
OSSIM-agent源代码分析(一)
aunt_y的博客
10-09 243
2021SC@SDUSC OSSIM-agent源代码分析(一) 1、简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 OSSIM Server接收到的每一个事件都是被某个Agent事先处理过的,即便是当一个Server只
OSSIM-agent源代码分析(七)
aunt_y的博客
11-22 3606
2021SC@SDUSC ParerWMI.py OSSIM-agent源代码分析(七) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程 python用WMI等获取windows系统信息以及修改系统的相关配置则也是非常重要
OSSIM源代码分析(一)
ITSM/ITIL/网络安全/IT运维
12-02 950
OSSIM可以分成几大部分: 一是ossim-agent 二是ossim-framemork, 三是ossim-server, 四是ossim-web界面。 老版本的ossim源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,按上面四个部分有四个工程, 在ossim的CVS服务器上,我们可以看到有五个以下工程: 1.agent 2.os-sim 3.server 4.web 5.ossim-gsoc2008 ossim-gsoc2008是和google的源代码合作...
OSSIM-agent源代码分析一)
aunt_y的博客
12-21 170
2021SC@SDUSC ControlSniffer.py OSSIM-agent源代码分析一) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 Sniffer,中文可以翻译为嗅探器,也叫抓数据包软件,是一种基于被
OSSIM-agent源代码分析二)
aunt_y的博客
12-26 1182
2021SC@SDUSC PacketUtils.py OSSIM-agent源代码分析二) 简述 OSSIM Agent的主要职责是收集网络上存在的各种设备发送的所有数据,然后按照一种标准方式(standardized way)有序的发送给OSSIM Server,Agent收集到数据后在发送给Server之前要对这些数据进行标准化处理,这样Server就可以依一种统一的方式来处理这些信息,并且也简化了Server的处理过程。 PacketUtils是包处理函数,在对大量数据收集后,处理数据和检索包能
ossim agent
12-04
OSSIM(Open Source Security Information Management)是一个开源的安全信息和事件管理(SIEM)系统,旨在帮助企业和组织收集、分析和报告安全数据。本文将详细介绍OSSIM agent的部署,并为新手提供帮助。 ### ...
OSSIM-GSoC-2014:摄影测量图像处理
07-12
OSSIM-GSoC-2014 摄影测量图像处理:OSSIM 的 DSM 生成工具================ 这是 OSSIM GSoc 2014 的存储库:它包含用于开发用于生成数字表面模型 (DSM) 的 OSSIM 应用程序的代码。 有关该项目的更多信息,请参阅 ...
ossim-geotools:OSSIM GeoTools集成
04-29
迪斯科行动是一个Web服务库,可为用户提供Web服务和图形界面,从而使在PostgreSQL和Accumulo中更轻松地管理地理空间图像。 它还允许用户查看地理空间编码的图块,并通过开放地理空间联盟标准。 未完成(1)提供将...
OSSIM - Open Source Software Image Map-开源
04-28
开源遥感OSSIM项目,发音为“ awesome”,将利用开源社区中现有的算法/工具/软件包来构建最终的遥感/图像处理/ GIS软件包。 osgPlanet扩展了OSSIM和Op
ossim遥感处理软件源代码
05-05
对于遥感和GIS领域的开发者而言,研究OSSIM源代码不仅可以提升在图像处理和地理空间分析方面的技能,还能了解开源社区的协作模式和最佳实践。通过学习OSSIM,你将能够更好地理解和应用遥感技术,解决实际问题,并...
OSSIM-Web界面介绍(02)
小冯先生的博客
06-10 1118
Web界面介绍 OSSIM提供Web界面来管理和查看网络情况。在浏览器中输入“htps:∥<IP地址>”,这里的IP地址为安装过程中设置的OSSIM服务器静态IP地址。 在OSSIM的web登录界面中(如果是第一次登录,则需要设置登录名、密码、邮箱等信息)输入用户名和密码,登录即可进入主界面。 进入OSSIM主界面,主要包括 DASHBOARDS(仪表板)、 ANALYSIS(分析)、...
最新-开源可视化安全管理平台Ossim5.0使用「预览」
weixin_33726943的博客
04-24 345
2019独角兽企业重金招聘Python工程师标准>>> ...
OSSIM源代码结构
javavsnet
09-07 536
OSSIM可以分成几大部分:一是ossim-agent,二是ossim-framemork,三是ossim-server,四是ossim-web界面。 老版本的ossim源代码把所有代码放在一个工程下面,1.0以后的版本基本都分开了,按上面四个部分有四个工程, 在ossim的CVS服务器上,我们可以看到有五个以下工程: 1.agent 2.os-sim 3.server 4.web ...
有关OSSIM源码
weixin_34329187的博客
06-24 329
有关OSSIM源码 在OSSIM系统中绝大部分源码都能查到,但有些Python脚本进行了加密,例如/usr/share/alienvault/ossim-agent/、/usr/share/ossim-framework/ossimframework/、/usr/share/alienvault/alienvault-forward/对于这几个目录下的加密脚本,若读者需要可以到我博客(http:/...
OSSIM 介绍
Alan Zhuang的博客
12-06 5693
(一)介绍    OSSIM (Open Source Security Information Management)翻译为开源安全信息管理系统,它是一个开源安全信息和事件的管理系统,集成了一系列的能够帮助管理员更好的进行计算机安全,入侵检测和预防的工具。   该项目开始于2003 Dominique Kar,Julio Casa,以及后来的Alberto Román之间的合作。2008成为
打造开源安全信息管理平台-Ossim
weixin_33805557的博客
01-18 404
10.7.1 OSSIM背景介绍(1)1.OSSIM产生背景目 前,网络威胁从传统的病毒进化到像蠕虫、拒绝服务等的恶意***,当今的网络威胁***复杂程度越来越高,已不再局限于传统病毒,盗号***、僵尸网络、间谍软 件、流氓软件、网络诈骗、垃圾邮件、蠕虫、网络钓鱼等严重威胁着网络安全。网络***经常是融合了病毒、蠕虫、***、间谍、扫描技术于一身的混合式***。拒 绝服务*...
Redis远程字典服务器(7)—— set类型详解
最新发布
aaqq800520的博客
08-16 794
上面的玩法,某音是玩得最好得,其他互联网大厂一看,也都纷纷效仿和跟进 --> 信息茧房 --> 你看到的东西都是你愿意看到的,你不愿意看的就很难被你看到 --> 你看到的内容始终是一个小圈子 --> 到处传递焦虑的,当你很认真看了一个焦虑视频之后,人家服务器就判定,你非常爱看这种类型的视频,然后就给你狂推送。“用户画像”,这种事情其实是挺复杂的事情,一般的大厂都会有专门的团队做这样的工作,用来准确描述一个人的喜好等。这里说的标签,就是一些简短的字符串,此时就可以把标签保存到Redis的set中了。
ossec-agent
04-30
OSSEC-Agent是一种基于开源OSSIM安全信息和事件管理系统的轻量级客户端,主要用于监控和保护服务器、工作站和工作流程。OSSEC-Agent与OSSEC-Server通信,定期收集系统日志、文件变更、注册表内容的变化等信息,进行...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值