關聯指令源碼分析

原創 李晨光 2019-09-15 14:30

下面分享的是OSSIM關聯分析的一部分源代碼。

/*
** * 想知道該指令是否與根節點指令匹配,這裏只檢查根節點,並不檢查指令的子節點**
 */
gboolean
sim_directive_match_by_event (SimDirective  *directive,
                                                      SimEvent      *event)
{
  SimRule *rule;
  gboolean match;

  g_return_val_if_fail (directive, FALSE);
  g_return_val_if_fail (SIM_IS_DIRECTIVE (directive), FALSE);
  g_return_val_if_fail (!directive->_priv->matched, FALSE);
  g_return_val_if_fail (directive->_priv->rule_root, FALSE);
  g_return_val_if_fail (directive->_priv->rule_root->data, FALSE);
  g_return_val_if_fail (SIM_IS_RULE (directive->_priv->rule_root->data), FALSE);
  g_return_val_if_fail (event, FALSE);
  g_return_val_if_fail (SIM_IS_EVENT (event), FALSE);

  rule = SIM_RULE (directive->_priv->rule_root->data);

  match = sim_rule_match_by_event (rule, event); 

  return match;
}

/*
** *這將檢查事件是否可以與backlog中的某些數據匹配。backlog實際上是一個包含事件數據的指令。每個backlog條目都是一個樹,其中包含來自一個指令的所有規則(它相當於是一個指令克隆)。其中每個規則(simrule)還包含與規則匹配的事件的數據。**
 * 
 */
gboolean
sim_directive_backlog_match_by_event (SimDirective  *directive,
                                                                      SimEvent    *event)
{
  GNode      *node = NULL;

  g_return_val_if_fail (directive, FALSE);
  g_return_val_if_fail (SIM_IS_DIRECTIVE (directive), FALSE);
  g_return_val_if_fail (!directive->_priv->matched, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr->data, FALSE);
  g_return_val_if_fail (SIM_IS_RULE (directive->_priv->rule_curr->data), FALSE);
  g_return_val_if_fail (event, FALSE);
  g_return_val_if_fail (SIM_IS_EVENT (event), FALSE);

  node = directive->_priv->rule_curr->children;
  while (node)      //**我們必須對照backlog中的所有規則節點檢查事件,除了根節點,因爲它簽入了sim_directive_match_by_event是從sim_organizer_correlation調用的.**
  {
    SimRule *rule = (SimRule *) node->data;

    if (sim_rule_match_by_event (rule, event))
        {
            g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event; sim_rule_match_by_event: True");
          time_t time_last = time (NULL);
            directive->_priv->rule_curr = node;     // 每次事件匹配時,該指令都下一級到匹配的節點。下次將根據此級別檢查事件。

                                                                                        //FIXME: 父節點中可能存在內存泄漏.
          directive->_priv->time_last = time_last;
          directive->_priv->time_out = sim_directive_get_rule_curr_time_out_max (directive);

            sim_rule_set_event_data (rule, event);      //這裏我們將事件中的各個字段分配到規則中,所以每次我們進入規則時,我們可以看到匹配的事件.

          sim_rule_set_time_last (rule, time_last);

          if (!G_NODE_IS_LEAF (node))
        {
          GNode *children = node->children;
          while (children)
                {
                  SimRule *rule_child = (SimRule *) children->data;

                  sim_rule_set_time_last (rule_child, time_last);

                  sim_directive_set_rule_vars (directive, children);
                  children = children->next;
                    g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: There are childrens in %d directive", directive->_priv->id);
                }
            }
          else
          {
              directive->_priv->matched = TRUE;
                g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: The directive %d has matched", directive->_priv->id);
          }

          return TRUE;
        }
        else
        {
            g_log (G_LOG_DOMAIN, G_LOG_LEVEL_DEBUG, "sim_directive_backlog_match_by_event: sim_rule_match_by_event: False");
        }

      node = node->next;
    }

  return FALSE;
}

/*
 * 檢查指令中的所有節點規則,以查看.......
 */
gboolean
sim_directive_backlog_match_by_not (SimDirective  *directive)
{
  GNode      *node = NULL;
  GNode      *children = NULL;

  g_return_val_if_fail (directive, FALSE);
  g_return_val_if_fail (SIM_IS_DIRECTIVE (directive), FALSE);
  g_return_val_if_fail (!directive->_priv->matched, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr, FALSE);
  g_return_val_if_fail (directive->_priv->rule_curr->data, FALSE);
  g_return_val_if_fail (SIM_IS_RULE (directive->_priv->rule_curr->data), FALSE);

  node = directive->_priv->rule_curr->children;

  while (node) 
  {
    SimRule *rule = (SimRule *) node->data;
        //如果規則已超時 &&       
    if ((sim_rule_is_time_out (rule)) && (sim_rule_get_not (rule)) && (!sim_rule_is_not_invalid (rule))) 
        {
          time_t time_last = time (NULL);
        directive->_priv->rule_curr = node;
          directive->_priv->time_last = time_last;
          directive->_priv->time_out = sim_directive_get_rule_curr_time_out_max (directive);

        sim_rule_set_not_data (rule);

          if (!G_NODE_IS_LEAF (node)) //這不是最後的節點,他還有一些子節點.
        {
          children = node->children;
          while (children)
                {
                SimRule *rule_child = (SimRule *) children->data;

                  sim_rule_set_time_last (rule_child, time_last);

                  sim_directive_set_rule_vars (directive, children);
                  children = children->next;
                }
        }
        else //last node!
        {
          directive->_priv->matched = TRUE;
        }

        return TRUE;
        }
    node = node->next;
  }

  return FALSE;
}

/*
 * backlog&directives幾乎是相同的:backlog是存儲指令並填充事件數據的地方。
 *“node”是子節點函數。我們需要從引用其級別的節點向該節點添加src_ip、port等。如果“node”參數是根節點->子節點1->子節點2中的children2,並且我們在children2中有1:plugin-sid,那麼我們必須將根節點中的plugin-sid添加到children2中。
 */
void
sim_directive_set_rule_vars (SimDirective     *directive,
                                                     GNode            *node)
{
  SimRule    *rule;
  SimRule    *rule_up;
  GNode      *node_up;
  GList      *vars;
  GInetAddr  *ia;
  GInetAddr  *sensor;
  gint        port;
  gint        sid;
  SimProtocolType  protocol;
    gchar               *aux = NULL;

  g_return_if_fail (directive);
  g_return_if_fail (SIM_IS_DIRECTIVE (directive));
  g_return_if_fail (node);
  g_return_if_fail (g_node_depth (node) > 1);

  rule = (SimRule *) node->data;
  vars = sim_rule_get_vars (rule);
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

eclipse查看不了源碼(the jar file has no source attachment)解決方法

本文旨在於解決eclipse查看不了源碼(the jar file has no source attachment)的問題 一、如果是本地jdk的源碼看不了,解決如下: 1.點擊Attach Source 2.點擊External F

xu_Melon 2020-07-07 21:10:38

零基礎開發 nginx 模塊

推薦學習資料: nginx 開發指南: http://nginx.org/en/docs/dev/development_guide.html nginx 動態模塊編譯博客文章: https://www.nginx.com/blog/c

雲棲號資訊小編 2020-09-03 11:25:52

單例模式拓展講解-JAVA

單例模式拓展 Author : HuiFer Git-Repo: JavaBook-src JAVA 中的單例 Runtime ServletContext ServletConfig ApplicationContext

staHuri 2020-07-07 21:11:04

2017 github 上android 源碼(適合工作中開發)

轉載: http://blog.csdn.NET/a774057695/article/details/49889437 https://github.com/XinRan5312/Android-open-project

徐代龙 2020-07-07 16:36:35

Java源碼---HashMap的底層實現

Hashmap是一種非常常用的、應用廣泛的數據類型,最近研究到相關的內容,就正好複習一下。網上關於hashmap的文章很多,但到底是自己學習的總結,就發出來跟大家一起分享,一起討論。 1、hashmap的數據結構 要知道hashmap是什

小学生Jason 2020-07-07 15:55:32

Java源碼---java.lang.String

一:String的構造函數有好多,我們一般常用的就那幾個,熟悉一下 尤其是String其實就是一個Char數組 SumCode: /* * Copyright (c) 1994, 2010, Oracle and/or i

小学生Jason 2020-07-07 15:14:10

ASP.NET MVC3 開發分類信息網:(一)ModelBase簡介

創建User表:CREATE TABLE Info_User( [Id] [int] IDENTITY(1,1) Primary key, [Nick] [nvarchar](50) NULL,--暱稱 [Sex] [bit] N

gz_gy 2020-07-07 11:50:15

從 EventBus 三個方法入手看源碼(一)

版權聲明:本文章原創於 RamboPan ,未經允許,請勿轉載。 EventBus@SubscribegetDefault()register()findSubscriberMethods()subscribe()unre

RamboPan 2020-07-07 10:31:04

IBM openblockchain學習(二)--chaincode源碼分析

openblockchain是IBM開源的blockchain項目,具體安裝流程之前已經介紹過,具體請看http://blog.csdn.net/pangjiuzala/article/details/50897819。 解

Star先生 2020-07-07 06:56:35

Launcher進程啓動

文章已同步Github博客:Launcher進程啓動 使用到的相關源碼:https://github.com/JesusYoung/AndroidResourceCode9.0/tree/master 基於Android 9.0

若邪〃 2020-07-07 04:05:40

View、ViewGroup的事件分發機制

1、事件概念     當發生點擊事件時,大致的調用順序是先調用最外層View的dispatchTouchEvent方法,然後調用onInterceptTouchEvent方法,再調用onTouchEvent方法;     分發、攔

若邪〃 2020-07-07 04:05:40

FairScheduler的任務調度機制——assignTasks

首先需要了解FairScheduler是如何在各個Pool之間分配資源,以及每個Pool如何在Job之間分配資源的。FairScheduler的分配資源發生在update()方法中,而該方法由一個線程UpdateThread每隔updat

少主无翼 2020-07-07 02:08:24

Hadoop1.2.1源碼解析系列:JT與TT之間的心跳通信機制——命令篇

前兩篇文章簡單介紹了hadoop心跳機制的兩個重要角色:JT和TT,雖然不是太詳細,但是大紙業說清楚了一些事,在JT篇的最後對於JT返回TT的心跳響應中的一些命令一筆帶過,這篇文章將重要介紹這些命令:ReinitTrackerAction

少主无翼 2020-07-07 02:08:24

Android系統啓動流程分析之啓動應用

繼上一篇Android系統啓動流程分析之安裝應用文章接着分析系統啓動應用的過程. Android系統的啓動流程簡要分析裏已經介紹了SystemServer在main方法裏創建了一個線程ServerThread,並調用initAndLoop

Dennis-Android 2020-07-06 21:48:19

來啊, 一起看遍JDK源碼

原創文章, 轉載請私信. 關注 tastejava 學習加思考, 仔細品味java之美 爲什麼要閱讀源碼 面試要考, 不管是什麼公司面試, 源碼相關知識點考察是少不了了, 例如ArrayList與LinkedList區別這樣

今秋复来此 2020-07-06 21:30:31