问题标签 [intrusion-detection]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
1 回答
2457 浏览

linux - Snort http_inspect 预处理器不会对流量发出警报

我目前正在为一个项目测试 Snort IDS,我遵循了 Snort 2.9.5.3 安装指南。我在正确配置 http_inspect 以使其向流量发出警报时遇到问题。

Snort 监控的(虚拟)网络由它、运行 DVWA(192.168.9.30)的 Ubuntu 机器和 Kali Linux VM(192.168.9.20)组成。我为 /etc/passwd 的任何数据包内容创建了本地规则。此规则检测到从 Kali VM 发送到 DVWA VM 的碎片数据包(使用文件包含)

我相信我已经将 http_inspect 配置为生成 URL 编码、多斜杠和自引用的警报(见下文)。运行规避方法后,我检查了 Snort 的终端输出,它显示它确实检测到了这些方法的使用,但它没有生成警报。

snort.conf

地方规则

0 投票
2 回答
2646 浏览

networking - Bro IDS - 检测 DDoS 攻击

我需要使用 BRO IDS 来检测 DDoS 攻击。我从 bro.org 安装了 bro 2.2,然后我检查了如何进行此分析。有人建议我用它synflood.bro来检测 DDoS 攻击。这是合乎逻辑的。

我正在尝试使用synflood.bro. 首先,我在 bro2.2 包中找不到它。所以,我从互联网上下载了它(http://www.filewatcher.com/m/synflood.bro.3792-0.html - 2012-07-24 bro-1.5.3.tbz/share/bro/synflood.bro

我有这个错误:

好的,很明显它找不到通知。但是,应该是什么“通知”。是文件夹还是什么?我想不通。

0 投票
1 回答
168 浏览

regex - 基于签名的 NIDS 正则表达式匹配

我正在尝试构建一个基于签名的入侵检测系统,但是在将正则表达式与有效负载匹配时,我遇到了一个以插入符号开头的表达式,^这意味着在正则表达式的行首匹配。

我想确定的是,这应该在整个有效负载的开头还是只是在换行符之后的有效负载中的任何位置\n

0 投票
1 回答
1828 浏览

dataset - 将http请求转换为kdd cup数据格式,41个参数

  • 机器学习是使用 KDD Cup 数据集完成的,并形成了经过训练的数据集。
  • 现在我必须使用训练有素的数据集检查实时请求..
  • 为此,我必须将 TCP 转储数据/或 http 请求转换为 KDD CUP 数据集格式(带有 41 个参数)

    我的问题是“我该如何进行转换??”

0 投票
3 回答
24487 浏览

networking - Snort - 运行时出错

使用命令运行 snort(在数据包转储模式下)sudo snort -C snort.conf -A console -i eth0出现以下问题:

有人可以提出解决方案吗?

0 投票
1 回答
6865 浏览

python - 借助 scapy 进行无线数据包捕获

我尝试过的代码如下:

使用它,我想捕获所有无线数据包,但我只得到多播(IP/UDP)包。那么我怎样才能在我的无线网络中获取所有的数据包呢?我为此(暂时)禁用了我的接入点上的加密,因此我可以访问数据包中的数据。

0 投票
1 回答
636 浏览

snort - 在 windows8 上以测试模式测试 snort 时无法加载规则

我安装了 snort 并在运行它时出现以下错误在 windows8

初始化输出插件!初始化预处理器!初始化插件!解析规则文件“c:\snort\etc\snort.conf”错误:c:\snort\etc\snort.conf(51) 缺少 DNS_SERVERS 的参数致命错误,正在退出。无法创建注册表项。

0 投票
1 回答
5616 浏览

snort - 字节码的 Snort 规则

我今天才开始学习如何使用 Snort。

但是,我需要一些关于我的规则设置的帮助。

我正在尝试在网络上查找以下发送到机器的代码。这台机器上安装了 snort(就像我现在安装的那样)。

我想在网络上分析的代码是以字节为单位的。

现在,我想分析代码的前 7 个字节。对我来说,如果第 1 个字节是(AA),第 7 个字节是(0F). 然后我想让snort发出警报。

到目前为止,我的规则是:

我猜我显然在某个地方犯了错误。也许熟悉snort的人可以帮助我?

谢谢。

0 投票
0 回答
1494 浏览

c - Boyer-Moore 算法

我正在尝试在 C 中实现 Boyer-Moore 算法以在 .pcap 文件中搜索特定单词。我从http://ideone.com/FhJok5引用了代码。我正在使用此代码。

只是我将数据包作为字符串传递,并将我正在搜索的关键字传递给其中的函数 search()。当我运行我的代码时,它每次都会给出不同的值。有时它也给出了正确的值。但大多数时候它没有识别一些值。

我从 Naive Algo Implementation 获得了结果。结果总是完美的。

我在 VMware 10.0.1 上使用 Ubuntu 12.0.4。语言:C

我的问题是每次都必须给出相同的结果,对吗?不管是对是错。每次我在相同的输入上运行文件时,此输出都会不断变化;并且在几次运行期间,它也给出了正确的答案。大多数情况下,该值在 3 或 4 个值之间变化。

到目前为止我所做的调试:

  1. 每次都传递字符串而不是数据包,它的工作完美且每次都具有相同和正确的值。
  2. 检查 pcap 部分,我可以看到所有数据包都被传递给函数(我通过打印数据包帧号来检查)。
  3. 我发送给 Naive Algo 代码的相同数据包,它提供了完美的代码。

请给我一些想法,可能是什么问题。我怀疑内存管理有问题。但如何找到哪一个?

提前致谢。

0 投票
0 回答
311 浏览

php - Laravel PHPIDS Include in Every File

I am using the laravel 4 framework. I recently updated composer.json to include PHPIDS. I read the documentation and understand how to implement it, but is there a quick way to filter ALL of the pages on my site, instead of just one? In short, is there a way that I could implement it where it would be included in every page of the site?