bro框架-- 文件分析

原文地址：

https://www.bro.org/sphinx/frameworks/file-analysis.html

文件分析（File Analysis）

文件分析框架（FAF）为文件相关的信息提供了一个一般的表示形式。

文件生命周期事件（File Lifecycle Events），在一个文件的生命周期中有file_new, file_over_new_connection, file_timeout, file_gap, file_state_remove等事件。处理这些事件可以提供一些关于文件的信息，比如当前有什么样的网络连接，是何种协议在传输文件，到目前为止已经传送了多少字节，它的MIME类型是什么。

一个简单的例子：

File_analysis_01.bro

event connection_state_remove(c: connection)

{

print "connection_state_remove";

print c$uid;

print c$id;

for ( s in c$service )

print s;

}

 

event file_state_remove(f: fa_file)

{

print "file_state_remove";

print f$id;

for ( cid in f$conns )

{

print f$conns[cid] $uid;

print cid;

}

print f$source;

}

 

# bro -r http/get.trace file_analysis_01.bro

file_state_remove

FakNcS1Jfe01uljb3

CHhAvVGS1DHFjwGM9

[orig_h=141.142.228.5, orig_p=59856/tcp, resp_h=192.150.187.43, resp_p=80/tcp]

HTTP

connection_state_remove

CHhAvVGS1DHFjwGM9

[orig_h=141.142.228.5, orig_p=59856/tcp, resp_h=192.150.187.43, resp_p=80/tcp]

HTTP

 

上例没有做什么有趣的分析，但很好地展示了连接分析和文件分析之间的相似点。连接（connection）是由通常的五元祖和一个uid标识。文件由一个与连接uid一样的字符串来标识。

添加分析 我们有可以附加到文件上的内置的文件分析器。一旦附加到文件上，它们（文件分析器）便开始接受文件的内容（Bro从网络连接上获取的）。它们对文件内容作何种处理就取决于具体的文件分析器实现了。它们要么通过事件来报告关于文件的更多信息（比如，Files::ANALYZER_MD5会报告文件的MD5校验和（一旦file_hash计算结束）），要么它们会有一些副作用（比如Files::ANALYZER_EXTRACT会将文件的内容写出到本地文件系统）。

未来会有自动附加到文件（基于启发[heuristics]的）上的文件分析器，与连接的动态协议探测框架（dynamic protocol detection framework）相似，但总会要求一个显式的附加决定（Ann explicit attachment decision）。

下例说明了如何使用MD5文件分析器去计算一个明文文件的MD5：

 

event file_sniff(f: fa_file, meta: fa_metadata)

{

if ( ! meta?$mime_type ) return;

print "new file", f$id;

if ( meta$mime_type == "text/plain" )

Files::add_analyzer(f, Files::ANALYZER_MD5);

}

 

event file_hash(f: fa_file, kind: string, hash: string)

{

print "file_hash", f$id, kind, hash;

}

 

# bro -r http/get.trace file_analysis_02.bro

new file, FakNcS1Jfe01uljb3

file_hash, FakNcS1Jfe01uljb3, md5, 397168fd09991a0e712254df7bc639ac

 

有一些文件会有可调谐参数用于在调用中指定

Files::add_ananlyzer :

event file_new(f: fa_file)

{

Files::add_analyzer(f, Files::ANALYZER_EXTRACT,

[$extract_filename="myfile"]);

}

在这个例子中，文件抽取分析器不会生成任何事件，但是可以将文件内容写到本地文件系统中去（由FileExtract::prefix和字符串myfile拼接起来）。当然，对于有不止一个文件传输的网络而言，最好为每个问价提供不同的解压路径，与这个例子不同。

不管是哪个文件解析器对文件进行了操作，关于这个文件的基本信息（比如大小，数据传输时间，MIME类型等）都会被记录在files.log中。

输入框架整合（Input Framework Integration）

FAF可以很方便地跟输入框架进行整合，所以Bro可以从不同的外部源分析文件，就如同Bro分析从网络接口中监视得到的流量而生成的文件。仅需要调用Input::add_analysis

 

redef exit_only_after_terminate = T;

 

event file_new(f: fa_file)

{

print "new file", f$id;

Files::add_analyzer(f, Files::ANALYZER_MD5);

}

 

event file_state_remove(f: fa_file)

{

print "file_state_remove";

Input::remove(f$source);

terminate();

}

 

event file_hash(f: fa_file, kind: string, hash: string)

{

print "file_hash", f$id, kind, hash;

}

 

event bro_init()

{

local source: string = "./myfile";

Input::add_analysis([$source=source, $name=source]);

}

注意fa_file的“source”域和Input::AnalysisDescription的“name”域相对应（因为输入框架用这个域来唯一地标识一个输入流）。

上面的脚本的输出可能如下（假设一个名为myfile的文件存在）：

# bro file_analysis_03.bro

new file, FZedLu4Ajcvge02jA8

file_hash, FZedLu4Ajcvge02jA8, md5, f0ef7081e1539ac00ef5b761b4fb01b3

file_state_remove

没有什么特别的东西，但至少证实了MD5文件解析器读取了输入文件的所有字节并且正确地计算出了它的校验和！