问题标签 [intrusion-detection]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
raspberry-pi - Snort 找不到规则文件
在 Raspberry Pi B+ 模型上的最新 Arch Linux 操作系统上运行 snort 2.9.7.0。我尝试在 NIDS 模式下多次运行 Snort: snort –dev –l log –h 192.168.1.0/24 –c snort.conf 或 snort -c snort.conf -l /log -h 127.0.0.1/24 -s .
我总是收到这个错误:./etc/snort/rules/emerging-icmp.rules(0) 无法打开规则文件“./etc/snort/rules/emerging-icmp.rules”没有这样的文件或目录。问题是这个文件确实存在并且是规则目录的一部分!
我确实按照一些教程和手册http://manual.snort.org/node18.html的建议修改了 snort.conf,但是这并没有任何帮助,我碰了壁。我没有看到我做错了什么。
有没有关系。前 / ?
intrusion-detection - 如何向 HTTP URL 发送 OSSec 通知
目前我看到的只是电子邮件通知,可以在 OSSec 中发送警报。有什么方法可以在出现警报时进行 http 调用?
error-handling - 如何在 Ubuntu 中以 IPS 模式工作?
我正在尝试在 vmware 播放器中安装 suricata,当我尝试
我得到的错误
- [ERRORCODE: SC_ERR_CONF_YAML_ERROR(240)] - 无法解析配置行 382:没有找到预期的密钥
任何帮助表示赞赏
machine-learning - 用于为 snort IDS 创建规则的新数据集
我目前正在从事一个项目“为 snort IDS 的网络入侵检测创建规则”。snort IDS 使用网络数据包头属性(例如 ttl、ip 等)作为规则。我目前正在使用 KDD 1999 数据集进行规则创建部分。但是,我发现很难将 KDD 属性映射到 tcp 标头属性。是否有任何新数据集可用于创建 snort 规则?
intrusion-detection - Ossim 多个 extra_data
我的一段日志:
Info1:攻击多个Activity_ID:0 activity_Name:name_activity
我的解码器(不完整)
例如,在规则中,我想在不同的 extra_data 中进行搜索。
if extra_data1 ^attack
if extra_data2 ^multiple
if extra_data3 ^name
是否可以在多个 extra_data 中应用表达式正则?谢谢
networking - Snort 仅警告其正在运行的 IP
我正在尝试从我的机器(opensuse 13.1)设置一个 snort IDS 来监控整个网络。当我运行 snort 时,我会嗅探所有数据包并监视网络上的所有计算机,但我只会收到有关我机器的警报。我希望警报文件提醒我有关所有 IP 的信息。我还尝试在 HOME_NET 中包含特定的 IP 地址,但它仍然只会提醒我有关我的 opensuse 机器。
我的 snort.conf:HOME_NET 192.168.1.0/24
EXTERNAL_NET !$HOME_NET
输出 alert_fast: /var/log/snort/fast_alert.txt
我正在为我的一个 snort.rules 文件使用 pullpork。
我这样运行 snort: snort -d -c /etc/snort/snort.conf -vv
另外,我没有 eth0 作为网络设备选项可能是重要信息。
如何让 snort 提醒我网络上的所有机器/IP?
scapy - 测试 Snort 规则
我每天都在用pulledpork来获取我的规则。我希望能够测试这些规则并确保一切正常。有什么是最新的和有效的吗?我知道 rules2alert 在那里,但它还远远没有完成,并且有一段时间没有被触及。当我在我的 pullpork 规则上运行它时,我得到了很多错误。
snort - 在 Snort 中为不同子网启用不同规则的最佳方法是什么?
我们在其中一台服务器上运行了 snort,该服务器的网络接口具有子网配置192.168.0.0/16我想启用特定规则,例如带有 sid:2002027 的聊天规则,192.168.1.0/24但我不希望该规则处于活动状态为192.168.2.0/24. 实现这一目标的最佳方法是什么?
而且,上面规则中的任何关键字都应该限制为192.168.1.0/24. 否则会影响192.168.2.0/24。我正在尝试自动执行此操作,因为我们可以有许多子网和这些子网的许多不同规则。
任何建议都会很棒
linux - barnyard2 for snort permission denied
I installed barnyard2 for snort, but when i run command below this error appear.
and permission is:
in this link this problem was solved but i don't understand how ...
https://forums.freebsd.org/threads/barnyard2-start-service-error.51378/
email - 用于抑制 alert_by_email 的单一 OSSEC 规则
我试图抑制/忽略每个 OSSEC 规则的 alert_by_email 选项。该文档建议以下内容:
“某些规则设置了一个选项来强制 OSSEC 发送警报电子邮件。此选项是 alert_by_email。其中一个规则是 1002。要忽略这些规则,您必须创建一个规则来专门忽略它,或者在没有alert_by_email 选项。”
但是,我找不到任何创建单个角色以忽略该选项的示例。希望你们能帮助我。