zeek提取文件

1、參考

官方文檔 file analysis

2、名詞解釋

FAF, file analysis framework, 文件分析框架
DPD, dynamic protocol detection, 動態協議檢測框架

3、正文

1. 文檔翻譯

在過去，編寫zeek腳本分析文件內容很是麻煩，由於根據文件傳輸涉及到的網絡協議，可能會有多種不一樣的事件（分佈在不一樣的協議層）呈現，當不一樣協議中包含文件時，須要修改某個協議的分析事件用於適應其餘協議的事件。
如今，經過FAF框架，能夠經過一套事件，解決不一樣協議中文件分析。有關於網絡傳輸文件所涉及的協議信息仍然可使用，可是不須要組織腳本邏輯來處理文件。FAF框架的目標是提供和Zeek已有的網絡鏈接分析相似的文件分析。

文件提取生命週期，主要的事件以下：

(1) file_new,
(2) file_over_new_connection
(3) file_timeout
(4) file_gap
(5) file_state_remove

有內置的分析器，能夠添加到文件分析過程，一旦添加，當zeek從正在進行的網絡鏈接中提取文件時候，分析器獲取文件的內容。這些內置的文件分析器的處理邏輯各不相同，可是它們一般會經過事件呈現更多的文件信息。例如：

Files:ANALYZER_MD5將計算文件的md5校驗值
Files:ANALYZER_EXTRACT將提取文件內容到服務器文件系統中

將來，可能會有基於啓發式的文件自動分析功能，相似於DPD框架