zeek提取文件

1、参考

官方文档 file analysis

2、名词解释

FAF, file analysis framework, 文件分析框架
DPD, dynamic protocol detection, 动态协议检测框架

3、正文

1. 文档翻译

在过去，编写zeek脚本分析文件内容很是麻烦，由于根据文件传输涉及到的网络协议，可能会有多种不一样的事件（分布在不一样的协议层）呈现，当不一样协议中包含文件时，须要修改某个协议的分析事件用于适应其余协议的事件。
如今，经过FAF框架，能够经过一套事件，解决不一样协议中文件分析。有关于网络传输文件所涉及的协议信息仍然可使用，可是不须要组织脚本逻辑来处理文件。FAF框架的目标是提供和Zeek已有的网络链接分析相似的文件分析。

文件提取生命周期，主要的事件以下：

(1) file_new,
(2) file_over_new_connection
(3) file_timeout
(4) file_gap
(5) file_state_remove

有内置的分析器，能够添加到文件分析过程，一旦添加，当zeek从正在进行的网络链接中提取文件时候，分析器获取文件的内容。这些内置的文件分析器的处理逻辑各不相同，可是它们一般会经过事件呈现更多的文件信息。例如：

Files:ANALYZER_MD5将计算文件的md5校验值
Files:ANALYZER_EXTRACT将提取文件内容到服务器文件系统中

将来，可能会有基于启发式的文件自动分析功能，相似于DPD框架