snort_rules/doc/signatures 规则解析放入MySql数据中

最新推荐文章于 2022-04-19 00:04:23 发布
最新推荐文章于 2022-04-19 00:04:23 发布
阅读量1.5k 收藏 3
点赞数
分类专栏: # C程序 # IDS--入侵检测 文章标签: 解析snort规则 文件目录遍历 解析文件插入数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ftxc_blog/article/details/12835499
版权

程序功能描述:

                     对snort_rules/doc/signatures 下的所有规则文件(如图1),进行单个规则文件读取(每个文件如图2所示),提取对规则的描述信息,然后对应PID-SID为关键字存储到MySql数据库当中(如图3所示)

      图1——signatures文件夹,文件目录截图

       图2——单个规则文件打开截图


    图3——运行最终结果图




程序代码:

Parserules.c

流程:1.遍历整个目录,2.取出每个文件,3.解析每个文件,4.将解析结果存入数据库

#include <stdio.h>
#include <dirent.h>
#include <string.h>
#include <stdlib.h>
#include "/usr/include/mysql/mysql.h"
#define  BUFF_SIZE 1024
#define  MAX_PATH 200
#define  RULESDIR "/root/snort_rules/doc/signatures"
#define  RULESDIRTEST "/root/snort_rules/doc/test"
#define  CONTENT_SIZE 10240
#define  MYSQLBUFF_SIZE 102400

/*
*  定义连接信息
*/
#define  MYSQL_CONNECT_IP "XXX.XXX.XXX.XXX"
#define  MYSQL_USER_NAME  "root"
#define  MYSQL_USER_PWD   "passwd" 
#define  MYSQL_DATABASE   "databaseName"

struct ParseContent
{
    char summary[CONTENT_SIZE];
    char impact[CONTENT_SIZE];
    char detailedInfo[CONTENT_SIZE];
    char affectSystem[CONTENT_SIZE];
    char attackscenar[CONTENT_SIZE];
    char easeOfAttack[CONTENT_SIZE];
    char falsePostitves[CONTENT_SIZE];
    char falseNegatives[CONTENT_SIZE];
    char correctiveAction[CONTENT_SIZE];

}ruleStruct;


MYSQL *conn_global;
int  insertfileNum;
int  insetFailNum;


int  Parserule(char *chFileNameIn);
int  mysqlInit();
int  InsertDatebase(char *psid[2],char *chFileNameIn);
void strReplace(char *context);

int main()
{
    char filePath[MAX_PATH]=RULESDIRTEST;
    char chFileNameIn[MAX_PATH]={0};
    char *psid[2];
    char *p;
    int  i;
    DIR *dir;
    struct dirent *ptr;    
    insertfileNum=0;
    insetFailNum=0;    
    mysqlInit();
    
    if(filePath==NULL)
    {
        printf("file path is empty");
        return -1;
    }    
    if((dir=opendir(filePath))==NULL)
    {
        printf("can not open the dir: %s \n",filePath);
        return -1;    
    }
    while((ptr=readdir(dir))!=NULL)
    {
       if(strcmp(ptr->d_name,".")==0||strcmp(ptr->d_name,"..")==0)
           continue;
       memset(chFileNameIn,'\0',MAX_PATH);
       if(ptr->d_type==DT_REG)
        {
        sprintf(chFileNameIn,"%s/%s",filePath,ptr->d_name);
        if(strstr(ptr->d_name,"-")!=NULL)
        {
            p=strtok(ptr->d_name,"-");
            for(i=0;p!=NULL;i++)
            {
                psid[i]=p;
                p=strtok(NULL,"-");
            }
        }
        
        else
        {
            psid[0]="1";
            psid[1]=ptr->d_name;        
        }
        psid[1]=strtok(psid[1],".");
        //printf("this current file name is : %s the pid:%s the sid:%s\n",chFileNameIn,psid[0],psid[1]);    
        Parserule(chFileNameIn);
        InsertDatebase(psid,chFileNameIn);
        }
    }
    mysql_close(conn_global);    
    printf("共尝试插入%5d 个文件\n",insertfileNum);
    printf("插入失败  %5d 个文件\n",insetFailNum);
    
    return 0;
}

int mysqlInit()
{

    if( (conn_global=mysql_init(NULL))==NULL )
    {
        printf("mysql connection init error!\n");
        return 0;
    }
    
    if(!mysql_real_connect(conn_global,"MYSQL_CONNECT_IP","MYSQL_USER_NAME","MYSQL_USER_PWD","MYSQL_DATABASE",0,NULL,0))
    {
        printf("Failed to connect to Mysql!\n");
        return 0;
    }
    
    //printf("mysql connect success!\n");

}
int  Parserule(char *pFileNameIn)
{
    FILE *pFileIn;
    char chBuff[BUFF_SIZE];
    int lineNum=0;
    memset(ruleStruct.summary,'\0',CONTENT_SIZE);
    memset(ruleStruct.impact,'\0',CONTENT_SIZE);
    memset(ruleStruct.detailedInfo,'\0',CONTENT_SIZE);
    memset(ruleStruct.affectSystem,'\0',CONTENT_SIZE);
    memset(ruleStruct.attackscenar,'\0',CONTENT_SIZE);
    memset(ruleStruct.easeOfAttack,'\0',CONTENT_SIZE);
    memset(ruleStruct.falsePostitves,'\0',CONTENT_SIZE);
    memset(ruleStruct.falseNegatives,'\0',CONTENT_SIZE);
    memset(ruleStruct.correctiveAction,'\0',CONTENT_SIZE);

    pFileIn=fopen(pFileNameIn,"r");
    if(pFileIn==NULL)
    {
        printf("can not open the file:%s\n",pFileNameIn);
        return 0;
    }

    while(!feof(pFileIn))
    {
        lineNum++;
        //printf("第 %2d 行:",lineNum);
        memset(chBuff,'\0',BUFF_SIZE);
        fgets(chBuff,BUFF_SIZE,pFileIn);
        if(strcmp(chBuff,"Summary:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.summary,chBuff);
                }
            }
            strReplace(ruleStruct.summary);
        }
        if(strcmp(chBuff,"Impact:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.impact,chBuff);
                }
            }
            strReplace(ruleStruct.impact);
        }
        if(strcmp(chBuff,"Detailed Information:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.detailedInfo,chBuff);
                }
            }
            strReplace(ruleStruct.detailedInfo);
        }        

        
        if(strcmp(chBuff,"Affected Systems:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.affectSystem,chBuff);
                }
            }
            strReplace(ruleStruct.affectSystem);
        }
        if(strcmp(chBuff,"Attack Scenarios:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.attackscenar,chBuff);
                }
            }
            strReplace(ruleStruct.attackscenar);
        }
        if(strcmp(chBuff,"Ease of Attack:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.easeOfAttack,chBuff);
                }
            }
            strReplace(ruleStruct.easeOfAttack);
        }
        if(strcmp(chBuff,"False Positives:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.falsePostitves,chBuff);
                }
            }
            strReplace(ruleStruct.falsePostitves);
        }
        if(strcmp(chBuff,"False Negatives:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.falseNegatives,chBuff);
                }
            }
            strReplace(ruleStruct.falseNegatives);
        }
        if(strcmp(chBuff,"Corrective Action:\n")==0)
        {
            while(strcmp(chBuff,"--\n")!=0)
            {    
                
                memset(chBuff,'\0',BUFF_SIZE);
                fgets(chBuff,BUFF_SIZE,pFileIn);
                if(strcmp(chBuff,"--\n")!=0)
                {
                    strcat(ruleStruct.correctiveAction,chBuff);
                }
            }
            strReplace(ruleStruct.correctiveAction);
        }

    }
    fclose(pFileIn);
}

void strReplace(char *context)
{
    int i;
    for(i=0;i<strlen(context);i++)
    {
        if((context[i]=='\"')||(context[i]=='\''))
           context[i]='`';
    }
}
int  InsertDatebase(char *psid[2],char *chFileNameIn)
{
    insertfileNum++;
    //printf("正在插入第 %5d 个文件\n",insertfileNum);
    //printf("pid:%s,sid:%s,summary: %s\n impact : %s\n detailinfo : %s\n affectsystm: %s\n attackscenar:%s\n easeofattack:%s\n falsePostives:%s\n falseNegatives:%s\n coorectiveAction:%s\n",psid[0],psid[1],ruleStruct.summary,ruleStruct.impact,ruleStruct.detailedInfo,ruleStruct.affectSystem,ruleStruct.attackscenar,ruleStruct.easeOfAttack,ruleStruct.falsePostitves,ruleStruct.falseNegatives,ruleStruct.correctiveAction);
    char mysqlbuf[MYSQLBUFF_SIZE];
    memset(mysqlbuf,'\0',MYSQLBUFF_SIZE);
    sprintf(mysqlbuf,"INSERT INTO rule_detail (PID,SID,DESCRIPTION,IMPACT,DETAIL,EFFECT,ATTACKSCEN,EASEOFATTACK,FALSEPOSTITVES,FALSENEGATIVES,RESOLUTION)VALUES('%s','%s','%s','%s','%s','%s','%s','%s','%s','%s','%s')",psid[0],psid[1],ruleStruct.summary,ruleStruct.impact,ruleStruct.detailedInfo,ruleStruct.affectSystem,ruleStruct.attackscenar,ruleStruct.easeOfAttack,ruleStruct.falsePostitves,ruleStruct.falseNegatives,ruleStruct.correctiveAction);
    //printf("the sql:\n %s",mysqlbuf);
        
    if(mysql_real_query(conn_global,mysqlbuf,(unsigned long)strlen(mysqlbuf)))
     {
        insetFailNum++;
        printf("insert the file %s failed!\n",chFileNameIn);
        return 0;    
    }
    return 1;
}

编译命令:

           gcc -o parseRule Parserules.c  -I/usr/include/mysql -rdynamic -L/usr/lib64/mysql -lmysqlclient




非同_寻常
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
snort 规则存储到mysql_Snort里的规则目录文件解读(图文详解)
weixin_35300124的博客
02-03 358
不多说,直接上干货!snort规则啊,是基于文本的,它通常存在于snort程序目录或者子目录规则文件按照不同的组,进行分类存放的。snort的安装目录[root@datatest snort]# pwd/etc/snort[root@datatest snort]# lltotal5400-rw-r--r--. 1 root root 8433 Aug 8 13:26barnyar...
Suricata的命令行解释
weixin_33769207的博客
08-17 300
      见官网 https://suricata.readthedocs.io/en/latest/command-line-options.html           root@SELKS:~# suricata Suricata 4.0.0-dev (rev 5e3d8b1) USAGE: suricata [OPTIONS] [BPF FILTER...
snort的安装、配置和使用
热门推荐
不忘初心,护天下安全!
12-19 6万+
Snort 在1998年,Marty Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天,Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析,网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention Syst...
SNORT入侵检测系统
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据
snort数据库文件-schemas.zip
08-01
snort在2.9之后的版本,安装以后不带schemas模块,无法将日志导出数据库。 该文件为2.9之前的软件自带的数据库结构文件夹,供大家参考。
snort_rules-snapshot-2983
12-07
Snort是一款著名的开源网络入侵检测系统(NIDS),它的核心在于其规则库,这些规则定义了如何识别并响应网络的可疑或恶意行为。"snort_rules-snapshot-2983"很可能是一个特定版本的Snort规则集合,代表了在该版本...
snort rule snort rules snort 规则集 2900
02-20
snort官网上下载的规则集 版本2900 包括文本规则和so规则 snort官网上下载的规则集 版本2900 包括文本规则和so规则
Snort-Rules:Snort 23条规则的集合
05-11
Snort规则 描述 Snort 2和3规则很不错。 包括社区版和另一个Github存储库的快照克隆。 喷鼻息2 为了易于使用,该存储库已存储在snortrules-snapshot-2972.zip。 还有公共版本的snort2-community-rules.tar。 喷...
MWM.rar_c/c_mwm_入侵检测_字符串 匹配
09-24
在IT领域,字符串匹配是数据处理和网络安全的一个重要组成部分,特别是在入侵检测系统(Intrusion Detection System, IDS)。本文将深入探讨标题所提及的“MWM.rar”压缩包内容,即WU-MANNER算法在C/C++环境下的...
snort规则解析
lieye_leaves的专栏
09-22 3900
 Snort规则共有五个分类:alert, log, pass, activate, dynamic; typedef struct _RuleListNode {    ListHead *RuleList;           /* The rule list associated with this node */    int mode
Snort里的规则目录文件解读(图文详解)
weixin_34275734的博客
08-09 1672
       不多说,直接上干货!     snort规则啊,是基于文本的,它通常存在于snort程序目录或者子目录规则文件按照不同的组,进行分类存放的。             snort的安装目录 [root@datatest snort]# pwd /etc/snort [root@datatest snort]# ll total 5400 -...
snort规则
qq_32350719的博客
09-19 1万+
Snort规则被分成两个逻辑部分:规则头和规则选项。 规则头包含规则的动作,协议,源和目标ip地址与网络掩码,以及源和目标端口信息; 规则选项部分包含报警消息内容和要检查的包的具体部分。 1. 规则规则动作 在snort有五种动作:alert、log、pass、activate和dynamic. Alert:使用选择的报警方法生成一个警报,然后记录(log)这个包。 Alert动作用来在一个...
「干货」Snort使用手册「详细版」
橙留香Park的博客
01-21 1万+
转移发布平台通知:将不再在CSDN博客发布新文章,敬请移步知识星球... ...
mysql snort,Snort部署及使用 | leon的博客
weixin_39917211的博客
03-17 421
第1章 系统环境说明1.1 部署环境说明1.1.1 准备环境[root@snort ~]# cat /etc/redhat-releaseCentOS Linux release 7.4.1708 (Core)[root@snort ~]# uname -r3.10.0-693.el7.x86_641.1.2 程序版本软件版本snort2.9.11.1daq2.0.6barnyard22-1.13...
snort引导mysqlcreate建表脚本
legend
06-06 900
<br />Microsoft Windows XP [版本 5.1.2600]<br />(C) 版权所有 1985-2001 Microsoft Corp.C:/Documents and Settings/Administrator>mysql -u root -p<br />Enter password: ******<br />Welcome to the MySQL monitor.  Commands end with ; or /g.<br />Your MySQL connection i
Snort Rules 编写示例
weixin_40391638的博客
08-15 2517
Snort Rules 编写示例 Rules的格式如下 func proto src_ip/mask src_port_range -&amp;gt; dst_ip/mask dst_port_range (options) 备注: 可以使用”any”作为IP地址或者Port的通配符 Rules必须单行,解析器(Parser)无法识别多行的Rules 每条Rules以封号和圆括号结束,例如...
snort怎么读取数据库rules
最新发布
06-03
这里将规则路径指定为 `/usr/local/snort/rules`,你可以根据实际情况进行修改。 3. 找到 `var RULES_FILE`,注释掉该行,并添加以下内容: ``` var RULES_FILE /usr/local/snort/rules/registered_rules.rules ```...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值