suricata
1 人感兴趣 · 20 次引用
- 最新
- 推荐
网络入侵检测系统之 Suricata(十六)-- 类 suricata/snort 规则自动维护工具
之前一直想写一个工具用来维护一套类suricata/snort规则,需要做到脚本运行后自动可以爬取预先设置的网站规则,然后会将规则进行一些处理并存为数据库,接着可以进行相关的统计,比如今天新增多少规则或者哪些规则已经废弃了。
网络入侵检测系统之 Suricata(十五)--IPOnly/Radix Tree 详解
Suricata中对纯ip的加载是单独作为一个模块的,称之为IpOnly规则。本文详细介绍了iponly规则的组织和匹配流程
网络入侵检测系统之 Suricata(十四)-- 匹配流程
其实规则的匹配流程和加载流程是强相关的,你如何组织规则那么就会采用该种数据结构去匹配,例如你用radix tree组织海量ip规则,那么匹配的时候也是采用bit test确定前缀节点,然后逐一左右子树查询,Suricata也是如此,让我给大家简单介绍一下匹配流程。
网络入侵检测系统之 Suricata(十三)-- 网络安全威胁及攻击手段总览
Proofpoint Inc是致力于信息安全的公司,业务主要包括保护客户免于信息威胁,数据加密以及交易安全等等。其中我比较关心的就是Threat Protection[1],该公司每隔一周左右的时间就会更新形如suricata/snort样式的开源信息威胁规则[2],这部分规则可用于入侵检
网络入侵检测系统之 Suricata(十二)--TCP 重组优化
TCP重组十分耗存储资源,因此应该找到一些优化算法尽量避免TCP重组,并且又尽可能的不失流量的完整性。目前想到的有四个方面,配置限制,红黄绿名单,抽样算法以及合理的老化时长。
网络入侵检测系统之 Suricata(十一)--TCP 重组实现详解
本文横向介绍了三种网络入侵系统关于TCP重组的实现,qnsm/snort/suricata,TCP重组一直是入侵检测系统中最为重要也是最难的一部分,它涉及到全流量的缓存,因此存储消耗十分巨大,据统计100万的会话就要产生1G~10G的内存缓存,
网络入侵检测系统之 Suricata(九)--Storage 实现详解
suricata针对一些小的线程共享空间采用多种storage,比如Host storage,这个数据区就是存储阈值option实现时一些共享数据:
网络入侵检测系统之 Suricata(八)--Option 实现详解
本文详解介绍了suricata oprion相关的源码实现,并以tcp.flags与threshold关键字进行举例说明。
网络入侵检测系统之 Suricata(七)--DDOS 流量检测模型
分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。
网络入侵检测系统之 Suricata(六)-- 规则加载模块代码详解
本文详细的剖析了suricata规则加载部分的源码,从五元组+协议+option三个方面介绍了suricata规则的组织方式和匹配方式。
网络入侵检测系统之 Suricata(二)-- 运行模式及数据流图
本文介绍suricata运行模式,数据结构以及数据流图。Sruciata由线程和队列组成,数据包在线程间传递通过队列实现。线程由多个线程模块组成,每个线程模块实现一种功能。
网络入侵检测系统之 Suricata(一)-- 概览
Suricata是一个免费,开源,成熟,高性能,稳定的网络威胁检测引擎,本文介绍了suricata的简介,特性以及架构图
