2020-10-17

最新推荐文章于 2024-05-27 19:03:55 发布
最新推荐文章于 2024-05-27 19:03:55 发布
阅读量422 收藏 1
点赞数
文章标签: 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nunu__/article/details/109136179
版权

Suricata学习笔记

1. Suricate用户手册

Suricata 5.0.3 documentation

2. Basic Setup

sudo vim /etc/suricata/suricata.yaml

  • HOME_NET
    • 用于配置本地服务器的IP地址(可以是具体的某一个IP地址,也可以是一个网段)
  • rule-path
    • 用户可以自定义suricata将要使用的规则
    • 通常我会把自己写的规则放在:/etc/suricata/rules/myrule/xxx.rules
  • fast.log
    • suricata自动产生的报警信息会存在这里
    • 它的追加方式可以自定义:
      • append: YES/NO

3. suricate常见目录

  • /var/log/suricata/:存储 suricata 日志信息

    certs	                    #
core	                    #
eve.json	                #!!以json的数据格式来存储输出结果
fast.log	                #!!会记录alert相关信息
files	                    #
stats.log	                #
suricata.log	            #
suricata-start.log	        #

    查看日志信息的命令:
    sudo tail -f /var/log/suricata/fast.log
    sudo tail -f /var/log/suricata/eve.json | jq ‘select(.event_type==“alert”)’

  • /etc/suricata/:suricate 配置文件目录

    classification.config	    # 存放报警分类信息
reference.config	        # reference 规则引用信息
rules	                    # 存放大量自带规则集目录
suricata.yaml	            # suricata 配置文件
threshold.config	        #
    • suricata.yaml 为主要配置文件,包含:网络信息配置,输出信息配置,抓包配置,应用层协议配置)
    • classification.config:定义了各种流量攻击类型和优先级,类似拒绝服务攻击和web应用攻击等
    • reference.config:记录一些安全网站,漏洞平台的网址ÿ
最低0.47元/天 解锁文章
nunu__
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
suricata匹配从入门到精通(一)----suricata安装配置及使用
leeezp的博客
08-15 34万+
本文主要为即将进行CVE漏洞分析以及IDS规则编写的同事提供文档参考资料。 Suricata安全开发人员中目前比较流行的一个网络入侵检测和防御引擎。 在目前CVE漏洞分析和IDS规则编写工作中,主要用于对编写的IDS规则进行可用性验证。文档主要内容为Suricata的环境配置、详细安装过程和使用方式的简介,在每一部分列出了可能遇到问题的解决方法。...
detection_filter:使用Wire程序包过滤原始人工检测位置的节点
04-13
detection_filter 使用Wire程序包过滤原始人工检测位置的节点 人体检测管道 这是人体检测管道当前的工作方式: darknet节点推出检测到对象的边界框。 这些边界框由rgb_human_detection_node以及接近同步的深度图像捕获。 图像变换用于将边界框校正为深度框,从中提取深度值,并将其投影到相对于RealSense相机的真实世界中。 然后,将(x,y,z)中的这些相对人类位置作为/dragoon_messages/Objects 。 该节点( detection_filter )捕获这些相对的人类检测位置并对其进行预处理(4月12日:预处理仅包括忽略8m以外或0.05m以下的相对检测)。 然后,使用TF-tree将这些经过预处理的检测结果转换为/map帧,并将其发布为wire_msgs/WorldEvidence ,以输入到全局Kalman滤波器中。
iptables 介绍(一)
04-12 402
iptables是linux下的防火墙软件,功能十分强大,主要用于包过滤、网络地址转换、数据包更改,很多安全厂商的防火墙都是基于iptables搭建的。 一iptables的基本理论 1.规则(rules) 规则(rules)其实就是网络管理员预定义的条件,规则一般的定义为“如果数据包头符合这样的条件,就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中,这些规则分别指定了源地址、目
Suricata-入门实验-快速理解suricata
最新发布
qq_54078539的博客
05-27 356
Suricata 入门实验
suricata命令行
wsk004321的专栏
05-13 3878
suricata命令行选项说明 你能两种方式使用命令行选项,用一个横杠后面跟一个字符,或两个横杠后面跟一个单词,例如: -a --long-option ========================================================================== -c这个选项是最重要的选项。在-c之后,要输入suricata.y
【iptables 实战】02 iptables常用命令
程序员笔记
10-02 624
既将INPUT链的默认策略设置为了ACCEPT,同时又使用了白名单机制,因为如果报文符合放行条件,则会被前面的放行规则匹配到,如果报文不符合放行条件,则会被最后一条拒绝规则匹配到,此刻,即使我们误操作,执行了”iptables -F”操作,也能保证管理员能够远程到主机上进行维护,因为默认策略仍然是ACCEPT。注意DROP规则是用的A,append,即在ACCEPT之后,添加一条规则。假设,我想要放行ssh远程连接相关的报文,也想要放行web服务相关的报文,那么,我们在INPUT链中添加如下规则
2020-10.docx
09-12
这篇文档是202010月高等教育自学考试的操作系统课程的考试真题,主要涉及了操作系统的基础概念、处理器管理、存储管理、进程管理以及死锁和资源分配等多个方面。 1. 运行模式:操作系统通常分为用户模式和特权...
2020-02-13-raspbian-buster-lite.zip
04-30
描述中提到的文件校验信息,如SHA256哈希值(12AE6E17BF95B6BA83BECA61E7394E7411B45EBA7E6A520F434B0748EA7370E8),是用于验证下载的文件是否完整和未被篡改的关键步骤。当用户下载完文件后,可以通过计算该文件的...
gcc-arm-none-eabi-9-2020-q2-update-win32.zip
08-30
2.2 C++17支持:GCC 9正式支持C++17标准,提供了更多现代化的编程特性,如std::optional、std::variant、类模板自动推导等,帮助开发者编写更加简洁和安全的代码。 2.3 错误和警告改进:新版本对错误报告和警告信息...
TSDAS 198-2020 DHA营养强化鸡蛋
04-08
TSDAS 198-2020 DHA营养强化鸡蛋 本文件规定了DHA营养强化鸡蛋的术语和定义、分级、要求、试验方法、检验规则、包装、标识、运输、贮存、保质期等内容。下面是根据本文件生成的知识点: 1. DHA营养强化鸡蛋的定义...
湖北武汉新洲区2020-2020学年七年级上期末试卷--数学.doc
10-11
这份文档是湖北武汉新洲区2020-2020学年七年级上学期的数学期末试卷,主要涵盖了一年级初中生需要掌握的基础数学知识。试卷包括选择题、填空题和解答题,涉及了数学术语、运算、几何、代数等多个方面。 1. 选择题:...
程序员的数学系列书籍介绍-2020-10-20.pdf
10-21
17. **深度学习的数学** - **主要内容**:介绍深度学习相关的数学基础。 - **适用对象**:适合从事机器学习和深度学习的研究人员。 18. **博弈论** - **主要内容**:介绍博弈论的基本概念及其在不同领域的应用。...
听力录音14.1脚本.pdf-2020-10-05-10-36-17-790.docx
12-05
听力录音14.1脚本.pdf-2020-10-05-10-36-17-790.docx
河南鹤壁2020-2020学年九上教学质量调研测试.doc
10-11
这篇文档是关于2020-2021学年鹤壁地区九年级上学期教学质量调研测试的数学试卷,包含了填空题和选择题,主要考察学生的数学基础知识,包括二次根式、一元二次方程、位似图形、三角函数、增长率计算、几何图形的比例...
9、2020 CSP-S提高组第一轮比赛-C++试题及解析.pdf
09-02
10. 公式计算:本题考察了考生的公式计算知识,包括公式的定义和应用。 12. 后缀表达式:本题考察了考生的后缀表达式知识,包括后缀表达式的定义和应用。 13. 排列组合:本题考察了考生的排列组合知识,包括排列...
bandicam 2020-11-04 17-10-06-422.mp4
11-04
本视频用来放在博客文章中,演示代码的展示效果,方便大家查阅和练习,更加方便的熟悉代码开发操作,请勿下载,下载了也没有啥用,谢谢观看
SNORT入侵检测系统
热门推荐
swordheart的博客
04-19 1万+
0x00 一条简单的规则 alert tcp 202.110.8.1 any -> 122.111.90.8 80 (msg:”Web Access”; sid:1) alert:表示如果此条规则被触发则告警 tcp:协议类型 ip地址:源/目的IP地址 any/80:端口号 ->:方向操作符,还有<>双向。 msg:在告警和包日志中打印消息 sid:Snort规则id … 这条规则看字面意思就很容易理解。Snort就是利用规则来匹配数据包进行实时流量分析,网络数据包
Suricata产生的数据存储目录
weixin_33997389的博客
08-17 1573
        不多说,直接上干货!     我这里呢,分两种常用的Suricata。         一、源码编译安装的Suricata   这里不多说,大家可以去看我下面写的博客 使用 Suricata 进行入侵监控(一个简单小例子访问百度) [root@suricata suricata]# ls certs eve.json fast.log ...
A集合: [{begintime:2020-01-01 00:04:00,endtime:2020-01-01 00:06:00}, {begintime:2020-01-01 00:01:05,endtime:2020-01-01 00:03:15}, {begintime:2020-01-01 00:09:00,endtime:2020-01-01 00:10:00}, {begintime:2020-01-01 00:07:35,endtime:2020-01-01 00:08:40}, {begintime:2020-01-01 00:12:00,endtime:2020-01-01 00:17:00}, {begintime:2020-01-01 00:12:05,endtime:2020-01-01 00:13:10}, {begintime:2020-01-01 00:19:00,endtime:2020-01-01 00:21:00}, {begintime:2020-01-01 00:15:20,endtime:2020-01-01 00:20:45}]  期望得到的输出结果: [{begintime:2020-01-01 00:01:05,endtime:2020-01-01 00:03:15}, {begintime:2020-01-01 00:04:00,endtime:2020-01-01 00:06:00}, {begintime:2020-01-01 00:07:35,endtime:2020-01-01 00:08:40}, {begintime:2020-01-01 00:09:00,endtime:2020-01-01 00:10:00}, {begintime:2020-01-01 00:12:00,endtime:2020-01-01 00:21:00}]
04-23
好的,根据您的描述,您想要对给定的A集合进行排序,按照每个时间段的开始时间顺序,然后合并时间段,使得它们不重叠,对吗? 如果是的话,可以使用以下代码实现: ``` # 对时间段按照开始时间进行排序 A = sorted(A, key=lambda x: x['begintime']) merged = [] # 对时间段进行合并 for interval in A: if not merged or merged[-1]['endtime'] < interval['begintime']: merged.append(interval) else: merged[-1]['endtime'] = max(merged[-1]['endtime'], interval['endtime']) # 输出结果 print(merged) ``` 输出结果应该是: ``` [{begintime:2020-01-01 00:01:05,endtime:2020-01-01 00:03:15}, {begintime:2020-01-01 00:04:00,endtime:2020-01-01 00:06:00}, {begintime:2020-01-01 00:07:35,endtime:2020-01-01 00:08:40}, {begintime:2020-01-01 00:09:00,endtime:2020-01-01 00:10:00}, {begintime:2020-01-01 00:12:00,endtime:2020-01-01 00:21:00}] ``` 希望这能回答您的问题。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值