wiki:RegularExp

Version 1 (modified by waue, 16 years ago) (diff)

--

正規表示法 Rules

規則

[w] 不要有w的字串
word 待搜尋的字串(word)在行首
word$ 待搜尋的字串(word)在行尾
. 代表『任意一個』字符,一定是一個任意字符
\ 跳脫字符,將特殊符號的特殊意義去除
* 重複零個或多個的前一個 RE 字符
{n,m} 連續 n 到 m 個的『前一個 RE 字符』
[] 字元集合的 RE 特殊字符的符號
+ 重複『一個或一個以上』的前一個 RE 字符
? 『零個或一個』的前一個 RE 字符
| 用或( or )的方式找出數個字串
( ) 找出『群組』字串

範例

找tast 或 test: t[ae]st
不想要 oo 前面有 g: [^g]oo
oo 前面不想要有小寫字元: [^a-z]oo
取得有數字的那一行 : [0-9]
只列出在行首的 the :  ^the
不想要開頭是英文字母:^[^a-zA-Z]
行尾結束為小數點 (.) 的那一行 : \.$
該行並沒有輸入任何資料:^$
任意一個字元 .,如找good,gxxd,... :g..d
重複字元 * ,如找o,oo,oo...o:oo*
找出 g 開頭與 g 結尾的字串:g.*g
找出 g 後面接 2 到 5 個 o ,然後再接一個 g 的字串:go{2,5}g

Snort Log 範例

[**] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM [**] [[br]]
[Classification: Detection of a non-standard protocol or event] [Priority: 2]  [[br]]
07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13 [[br]]
PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54 [[br]]
[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211] [[br]]

[] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM []

  • 正規表示式:
^\[\**\] \[([1-9]*):([1-9]*):([1-9]*)\] ([^[]*)
  • 結果:
1 [] [1:2189:3] BAD-TRAFFIC IP Proto 103 PIM
2 1
3 2189
4 3
5 BAD-TRAFFIC IP Proto 103 PIM

[Classification: Detection of a non-standard protocol or event] [Priority: 2]

  • 正規表示式:
^\[Classification: ([^]]*)\] \[Priority: ([1-9]*)\]
  • 結果:
1 [Classification: Detection of a non-standard protocol or event] [Priority: 2]
2 Detection of a non-standard protocol or event
3 2

07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13

  • 正規表示式:
(^[0-9]*)\/([0-9]*)\-([0-9]*)\:([0-9]*)\:([0-9]*)\.[0-9]* ([^ ]*) -> ([^$]*)
  • 結果:
1 07/08-14:58:56.295033 140.110.138.253 -> 224.0.0.13
2 07
3 08
4 14
5 57
6 56
7 140.110.138.253
8 224.0.0.13

PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54

  • 正規表示式:
([^ ]*) TTL:([^ ]*) TOS:([^ ]*) ID:([^ ]*) IpLen:([^ ]*) DgmLen:([^ ]*)
  • 結果:
1 PIM TTL:1 TOS:0xC0 ID:11423 IpLen:20 DgmLen:54
2 PIM
3 1
4 0xC0
5 11078
6 20
7 54

[Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567][Xref => http://www.securityfocus.com/bid/8211]

  • 正規表示式:
\[Xref => ([^]]*)\]
  • 注意:只能找出第一個 [Xref => 的連結
  • 結果:
1 [Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567]
2 http://cve.mitre.org/cgi-bin/cvename.cgi?name=2003-0567