bro框架-- 情报框架

最新推荐文章于 2025-04-07 13:20:53 发布
最新推荐文章于 2025-04-07 13:20:53 发布
阅读量589 收藏
点赞数
分类专栏: 调研

原文地址:
https://www.bro.org/sphinx/frameworks/intel.html
情报框架(Intelligence Framework)
介绍
情报数据对以安全为目标的监视过程来说很重要。总是会有在事件回应过程中发现的数据,也有由私有团体所有的数据。Bro的情报框架的目标是消费数据,让它们可以用作匹配,并为改进性能、内存使用提供基础(易于实现)。
情报框架中的数据是一条不可分割的元情报,比如一个IP地址,一个邮箱地址(带有一系列关于它元数据,比如freeform元数据,它的URL)。在默认脚本中的元数据是按照最小存储的,以便团体能够找到合适的域(通过写脚本,这种脚本可以使用记录的扩展机制来扩展基础记录)。

快启动(Quick Start)
可使用下面这句话来加载文本文件。
    redef Intel::read_files += { "/somewhere/yourdata.txt" };
如果是在簇中运行的话,这个文本文件仅属于管理者(manager)。
添加如下的一行都local.bro中,可以加载脚本(该脚本将可见的数据发送给情报框架以验证读取出来的情报数据)
    @load policy/frameworks/intel/seen
情报数据的匹配会被记录到intel.log文件中去。

体系结构(Architecture)
情报框架包含三部分内容。第一部分是情报如何被加载,第二部分是情报框架检验“看见的”一条数据的机制,第三部分是一个正匹配在哪里被发现。

加载情报(Loading Intelligence)
情报数据仅可以通过使用输入框架约定来从纯文本文件中获取。此外,在簇中,仅有管理者(manager)需要情报数据。情报框架有将数据推(push)到需要它的节点(node)上的机制。
下面是情报数据格式的一个例子(注意当你使用CIF情报数据或者当你使用policy/frameworks/intel/do_notice脚本的时候,会有更多的域(field))。注意所有的域都由一个tab符分隔,仅包含一个连字符(hyphen)的域被认为是空值。
#fields indicator       indicator_type  meta.source     meta.desc       meta.url
1.2.3.4 Intel::ADDR     source1 Sending phishing email  http://source1.com/badhosts/1.2.3.4
a.b.com Intel::DOMAIN   source2 Name used for data exfiltration -
对于一个全是内置indicator_type类型的值,参考下面文档:
https://www.bro.org/sphinx/scripts/base/frameworks/intel/main.bro.html#type-Intel::Type

如果你使用的是集群情报框架(Collective Intelligence Framework),你需要添加以下行到你的local.bro中,以支持CIF所使用的额外的元数据域:
    @load policy/integration/collective-intel
    
对于用户指定的情报匹配,有一个简单的机制可以触发一个Bro提醒(Intel::Notice类型的)。为使用这个特性,添加如下行到local.bro中,以支持更多的元数据域(参见https://www.bro.org/sphinx/scripts/base/frameworks/intel/main.bro.html#type-Intel::MetaData)
    @load policy/frameworks/intel/do_notice

文件一创建就加载数据,使用下面的例子来指定加载哪些文件(当然是你自己的文件名称了):
redef Intel::read_files += {
        "/somewhere/feed1.txt",
        "/somewhere/feed2.txt",
};
记住,这些文件仅需要在簇部署的管理者节点(manager node)的文件系统中展示出来。

可见数据(Seen Data)
当一些数据被提取出来(比如SMTP协议传输中的一条消息的From头部中的一个邮箱地址),情报框架需要被告知这个被发现的数据。这样的话,便于情报框架在已加载的情报数据中检验这个数据是否存在。这个可以通过Intel::seen方法来完成,通常用户不用特地拿这个方法来工作,是因为Bro的脚本会调用这个方法。
为了加载所有Bro中的脚本来给情报框架传送“可见”数据,仅需在local.bro中添加如下行:
    @load policy/frameworks/intel/seen
目录中的指定脚本也可以被加载。发送给情报框架的数据越多,Bro消耗的CPU负载也就会越高(也依赖于调用了多少次Intel::seen方法,Inetl::seen十分依赖于流量大小)。

情报匹配(Intelligence Matches)
情报框架会提供一个每当发现一个匹配就提供的事件Intel::match。
由于情报框架的设计约束,不能保证事件在哪里生成。它可以在看见数据的工作者(worker)上生成,也可以在管理者(manager)上生成。当处理Intel::match事件的时候,只有作为事件参数传给事件的数据可以保证,因为看见数据的主机并不一定就是处理Intel::match的地方。
情报匹配被记录到intel.log文件中。查看这个文件中的各个域的描述,请参考如下网址(Intel::Info记录的文档)
https://www.bro.org/sphinx/scripts/base/frameworks/intel/main.bro.html#type-Intel::Info

 

基于micropython的st7735s驱动
supermodule的博客
01-21 2573
基于micropython esp32开发st7735s驱动代码
Arduino环境下ESP32+1.8'128X160 RGB_TFT(ST7735S)三种库的配置及示例程序效果
热门推荐
大头工程师笔记
03-23 2万+
1.硬件信息 1.1.屏幕 分辨率:128X160 Driver IC:ST7735S 1.2.主控ESP32引脚图 2.Ucglib库示例代码 2.1.SPI接线定义 ESP32 IO TFT 说明 VIN VIN VIN VIN GND GND GND GND D22 22 SCL 时钟线 D21 21 SDA 数据线 D25 25 RST 复位线 D14...
1.44寸 TFT屏幕的代码(芯片是ST7735S
08-21
资源是有关1.44寸的TFT屏幕的操作代码,驱动芯片是ST7735S,使用的是非标准SPI协议;
ST7735驱动实现(1.44寸TFT)基于STM32F103标准库
最新发布
2301_79723544的博客
04-07 434
实现字符串显示,图片显示功能,采用硬件spi
ST7735S彩屏 SPI驱动代码( msp430)
11-21
本代码采用SPI驱动,为自己做项目时整理,用该屏做简单的UI界面,LCD驱动部分有详细讲解,希望对有用的人能有些帮助。 支持中英文、位图显示(电量,信号灯简单图形),字库均自己制作;支持横屏和竖屏。该代码仅供学习参考。
ST7735S应用笔记
记录学习
03-14 2万+
ST7735S是一块1.8英寸采用SPI通信的TFT全彩屏,分辨率是128*160,这里采用RGB565 16bit的色块编译模式。本文仅设计该屏幕的简单应用,不对底层原理进行深究。
ST7735S_initial_code.c TFT驱动程序
03-29
ST7735S_initial_code.cTFT驱动程序 ST7735S_initial_code.cTFT驱动程序
【快速上手STM32】SPI通信协议&&1.8寸TFT-LCD(ST7735S
m0_63235356的博客
04-16 1万+
SPI,英文全称Serial Peripheral Interface,即串行外围设备接口,是一种高速、全双工、同步的串行通信总线。我们之前说过I2C,那么我们就拿I2C和SPI做个对比。SPI和I2C对比,优势在于SPI的传输速率比I2C快得多,劣势在于SPI需要用的通信线比较多。
1.44寸资料ST7735S的资料+红.zip_ST7735 1.44 pdf_ST7735S 1.44_st7735_st77
07-15
4. **驱动代码**:可能包含示例代码或库函数,帮助开发者快速实现与ST7735S的软件交互。 5. **用户指南**:指导用户如何设置和配置ST7735S,以及如何使用其各项功能。 在使用ST7735S时,开发者需要注意以下几点: 1...
06中景园电子高清0.96与1.3寸IPS彩色显示屏资料_1.3寸IPS彩色显示屏资料_st7735s0.96亮度_
10-03
ST7735S是一款专为小型TFT LCD显示屏设计的驱动芯片。它包含了显示控制器、电源管理、时序控制等功能,能够支持多种分辨率和显示模式。对于0.96英寸的显示屏,ST7735S能确保高清晰度和鲜艳的色彩表现。同时,亮度...
ST7735S芯片手册.pdf
04-26
ST7735S芯片手册,找了好久才找到。 132RGB x 162dot 262K Color with Frame Memory Single-Chip TFT ontroller/Drive
51驱动ST7735S
04-15
51单片机驱动ST7735S51的代码,个人向_ST7735S_CTC177 4-wire
STM32F030R8-ST7735S驱动程序
07-29
ST77 35是一种用于262K颜色的单片控制器/驱动器,即图形型TFT-LCD。它由396个源极线和162个门线驱动电路组成。接受串行外围接口(SPI)、8位/9位/ 16位/ 18位并行接口。显示数据可存储在132×162×x 18位的片上显示数据RAM中。H~(NO)外运算 将功率消耗降至最小,即,由于“集成”电源供应电路的必要性,即“驱动”液体晶体,它是可能的,从而成为一个具有较少成分的显示系统。
ST7735S_init
08-26
ST7735S驱动 ST7735S 160x128 彩屏驱动代码
ST7735sS_SPEC
09-13
ST7735S_SPEC规格书,包括代码,指令,原理图ST7735S_SPEC规格书,包括代码,指令,原理图ST7735S_SPEC规格书,包括代码,指令,原理图
华芯微特 SWM19SCBT7-50驱动TFT-LCD应用
07-15
在分析华芯微特SW19SCBT7-50驱动TFT-LCD应用时,首先要提到的是,这个应用笔记涉及到的SWM19SCBT7-50是一款微控制器(MCU),它是华芯微特推出的一款基于ARM Cortex-M0核心的产品。ARM Cortex-M0是目前世界上应用最...
1.8TFT显示屏ST7735S SPI接口使用指南
ST7735S是STMicroelectronics(意法半导体)生产的一款彩色TFT-LCD控制器驱动IC,常用于驱动1.8英寸或更小尺寸的TFT显示屏。它集成了高速SPI接口,允许快速的通信和数据传输,对于希望在较小尺寸上实现高分辨率和...
硬件SPI+DMA驱动0.96寸ST7735S(含代码)
abc565846881的博客
01-10 3422
前段时间做了一个软件模拟SPI驱动ST7735S的0.96寸彩屏,但是觉得屏幕的刷新率不太够用,于是打算改用硬件SPI+DMA的方式。具体ST7735S的底层逻辑以及如何根据数据手册设计底层驱动我前面的文章有讲解,感兴趣的可以先去看一下更好理解。
ImportError: cannot import name 'Protocol' from 'typing' (D:\LenovoSoftstore\Install\Anaconda3\envs\RL\lib\typing.py)
09-01
出现这个错误的原因是在导入seaborn包时,无法从typing模块中导入名为'Protocol'的对象。 解决这个问题的方法有以下几种: 1. 检查你的Python版本是否符合seaborn包的要求,如果不符合,尝试更新Python版本。 2. 检查你的环境中是否安装了typing_extensions包,如果没有安装,可以使用以下命令安装:pip install typing_extensions。 3. 如果你使用的是Python 3.8版本以下的版本,你可以尝试使用typing_extensions包来代替typing模块来解决该问题。 4. 检查你的代码是否正确导入了seaborn包,并且没有其他导入错误。 5. 如果以上方法都无法解决问题,可以尝试在你的代码中使用其他的可替代包或者更新seaborn包的版本来解决该问题。 总结: 出现ImportError: cannot import name 'Protocol' from 'typing'错误的原因可能是由于Python版本不兼容、缺少typing_extensions包或者导入错误等原因造成的。可以根据具体情况尝试上述方法来解决该问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [ImportError: cannot import name ‘Literal‘ from ‘typing‘ (D:\Anaconda\envs\tensorflow\lib\typing....](https://blog.csdn.net/yuhaix/article/details/124528628)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值