网络入侵检测系统之Suricata(十六)--类suricata/snort规则自动维护工具

最新推荐文章于 2024-07-11 14:30:14 发布
最新推荐文章于 2024-07-11 14:30:14 发布
阅读量382 收藏 3
点赞数 1
分类专栏: 网络入侵检测系统 文章标签: tcp/ip 网络协议 ips 入侵检测系统 suricata
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33823833/article/details/136553988
版权

Introduction

之前一直想写一个工具用来维护一套类suricata/snort规则,需要做到脚本运行后自动可以爬取预先设置的网站规则,然后会将规则进行一些处理并存为数据库,接着可以进行相关的统计,比如今天新增多少规则或者哪些规则已经废弃了。

目前我找到的免费的类suricata/snort规则的网站如下:

  • https://rules.emergingthreats.net/open/suricata-5.0/emerging-all.rules
  • https://sslbl.abuse.ch/blacklist/sslipblacklist.rules
  • https://sslbl.abuse.ch/blacklist/sslipblacklist_aggressive.rules
  • https://raw.githubusercontent.com/ptresearch/AttackDetection/master/pt.rules.tar.gz

Architecture

扩展新规则url爬虫类方法:
1. 安装运行环境
  Python3.8:https://www.python.org/downloads/
  Scrapy2.4.1:https://scrapy.org/
  
2. 新建网站子类,需要继承scrapy.Spider,并重写allowed_domains,start_urls 及parse函数:
  class YourSpiderClass(scrapy.Spider):
      name = 'get_et_rules'
      allowed_domains = ['rules.emergingthreats.net']
      start_urls = ['https://rules.emergingthreats.net/open/suricata-5.0/emerging-all.rules']
      
      def parse(self, response):
          # your parse code ... ... 
          pass

3. 在RulesSpider新增爬虫进程即可:
  from scrapy.crawler import CrawlerProcess
  class RulesSpider():
      def __init__(self):
          self.process = CrawlerProcess({
              'USER_AGENT': 'Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)'
          })
          self.process.crawl(GetEtRulesSpider)
          self.process.crawl(GetSSLIpBlackListSpider)
          self.process.crawl(GetSSLIpBlackListAggressiveSpider)
          # your process class ... ... 
  
      def start(self):
          self.process.start()
          
3. 执行main.py,显示如下:
    2021-10-25 16:08:47 [scrapy.core.engine] INFO: Closing spider (finished)
    2021-10-25 16:08:47 [scrapy.statscollectors] INFO: Dumping Scrapy stats:
    {'downloader/request_bytes': 281,
    'downloader/request_count': 1,
    'downloader/request_method_count/GET': 1,
    'downloader/response_bytes': 2830542,
    'downloader/response_count': 1,
    'downloader/response_status_count/200': 1,
    'elapsed_time_seconds': 4.061754,
    'finish_reason': 'finished',
    'finish_time': datetime.datetime(2021, 10, 25, 8, 8, 47, 572493),
    'log_count/DEBUG': 3,
    'log_count/INFO': 34,
    'response_received_count': 1,
    'scheduler/dequeued': 1,
    'scheduler/dequeued/memory': 1,
    'scheduler/enqueued': 1,
    'scheduler/enqueued/memory': 1,
    'start_time': datetime.datetime(2021, 10, 25, 8, 8, 43, 510739)}
    2021-10-25 16:08:47 [scrapy.core.engine] INFO: Spider closed (finished)
    update nidps rule successfully, totally time costs 5s
    old rules has 29765 items, new rules has 29778 items
    incre 8011 items, del 7998 items

Reference

于顾而言
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Kali 下安装snort并且配置规则(保姆级教学)
weixin_67066346的博客
04-20 4617
你还在为安装snort报错而烦恼么?这篇文章将解决你的问题!!!下面便进入正题吧,以下是snort的安装第一步:首先是先安装好以下几个包:如果报错了,就用aptitude install + 包名 这条指令(记得先Apt-get isnatll aptitude)接着先去snort官网下载daq接下来在安装snort前,我们先安装LuaJIT安装好后,我们便可以下载安装snort了,老样子,和装daq一样的,右键复制snort的链接网址,然后下载。
snort与suricate_工作记录—suricata扫盲 | 学步园
weixin_33960655的博客
01-17 395
SIEM可以过滤电子邮件,搜索关键词和发现安全缺口,为日志和事件管理提供正确的解决方案。SIEM 实际上是两产品的集合体,其中SIM(安全信息管理)负责收集来自各个安全日志文件的数据,并整理创建成最终报告,SEM(安全事件管理)利用事件关联和报警机制来帮助分析安全事件。而传统的日志管理工具只能收集日志文件并给出报告。Barnyard2:知名的开源IDS的日志工具,具有快速的响应速度,优异的数据...
网络安全监控与入侵检测:使用SnortSuricata工具进行入侵检测
最新发布
weixin_39372311的博客
07-11 691
网络安全监控与入侵检测是构建坚不可摧的网络安全防线的重要环节。通过实时监控网络流量和系统活动,及时发现和阻止恶意行为,从而保护网络安全。在本篇文章中,我们介绍了网络安全监控与入侵检测的基本概念,并使用SnortSuricata工具进行入侵检测。通过遵循最佳实践,我们可以更有效地进行网络安全监控与入侵检测,提高网络的安全性。
Snort3:规则语法规范(三)
魔神8号的博客
11-16 1216
snort规则使用轻量级语法,结构简单,语法清晰,相对容易理解snort规则语法丰富,功能强大snort引擎对规则有较为友好的语法检查和容错机制存在语法错误时,解析阶段会抛出详细的提示信息,精确到行使用http选项时对 service 选项遗漏提醒和自动补充snort3对规则语法处理上可能不够完备有时遗漏 ";"不会抛出异常多条distance 、 within 修饰的content选项组合使用时,某些情况下无法命中如果期望对snort规则有较为准确。
snort系统规则
我们俩
10-19 2810
Snort系统根据入侵者在进行入侵时所执行程序的某些行为为特征,建立一种入侵行为模型。根据这种行为模型所代表的入侵意图的行为特征,来判断用户执行的操作是否是属于入侵行为。要建立一个这样的特征信息(又称攻击签名) 的前提是必须建立一个有效、可扩展的特征描述方法,能够描述所有的入侵事件。Snort 规则分为两部分: 规则头部和规则选项。规则头部包含规则的操作、协议、源IP 地址和目标IP 地址及其网
suricata的安装与使用
qq_43671947的博客
08-13 5840
记第一次使用suricata 1.安装 网上有许多安装方法,我试过用ubuntu21版安装,但失败了,好像用ubuntu18.04版安装会好一点,但我这里直接使用kali安装的(kali永远的神,我这用的2021最新版,kali越更新越好用),直接apt-get install suricata就安装好了,很快,感绝就像假的一样,但就是能用,之后就是安装签名(就是规则rules文件)就可以了,命令是suricata-update, 注意这是官方更新的rule规则,更新的配置文件存放在/var/lib/sur
Snort规则检测引擎--架构解析
网络安全研究
08-24 2041
规则头和规则选项 snort将所有已知的攻击以规则的形式放在规则中,规则中的每条规则条目分为两个部分:规则头(RuleHeader)和规则选项(RuleOption)。 规则头包括:规则行为、协议、源/目的IP地址、子网掩码以及源/目的端口、数据流方向。 规则选项包含:报警信息和异常包的信息 (特征码) 这是Snort中一条事件定义:alert tcp $EXTERNAL_NET any-&g...
snort规则 好东西
12-22
snort规则,下载后直接解压到snort文件夹下,覆盖就行了
入侵检测检测系统snort开源
03-19
此外,还可以使用诸如Suricata的互补工具来增强Snort的功能,或者配合其他安全软件实现更全面的安全防护。 总之,Snort是一个强大的开源入侵检测系统,对于任何希望保护其网络免受攻击的企业和个人来说,都是一...
pullpork:用于SnortSuricata规则管理的Pulled Pork(来自Google代码)
02-05
网络安全领域,SnortSuricata是两款广泛使用的开源入侵检测系统(IDS)。为了有效地管理和更新这两款工具规则集,Pulled Pork应运而生。Pulled Pork是一款用Perl编写的脚本,专门用于自动化下载、解析、更新和...
snort规则 snortrules-snapshot-2.8.tar.gz/snortrules-snapshot-2970.tar.gz
04-14
Snort 是一款开源的网络入侵检测系统(NIDS),它能够实时监控网络流量,通过预定义的规则识别潜在的攻击行为。Snort 规则Snort 系统的核心组成部分,用于判断网络流量中的异常行为。`snortrules-snapshot-2.8....
snort2.7规则文件
09-16
官方提供的snort规则文件,2.7版本的 快来下载吧
snort v.s. suricata规则对比
10-25
入侵检测snortsuricata 规则语法对比,枚举出支持的keyword
snort-rules:Snort规则(IDS规则)的非官方Git存储发布
05-07
Snort.org Talos规则 Snort Rules(R)的非官方Git存储从发布规则 新兴威胁规则 滥用规则 来自规则 积极技术的攻击检测 来自规则 其他规定 如果您喜欢这个仓,请留下星星! 随着时间的推移观星人
suricata的基本使用
yeshankuangrenaaaaa的博客
09-04 6069
suricata suricata安装 规则管理 Oinkmaster 依赖 apt-get install liblua5.1-dev #配置支持lua,--enable-lua apt-get install libgeoip-dev #配置支持GeoIP,--enable-geoip apt-get install cargo #配置支持Rust suricata配置相关 设置EXTER...
Suricata规则下的威胁检测
m0_59598029的博客
08-02 725
流量对抗作为网络安全最关键、最重要的一个环节,针对流量的威胁检测显的尤为重要。同时以流量检测为支撑的安全产品层出不穷,其中XDR(拓展检测响应)目前最受欢迎。而suricata目前作为开源的优秀网络流量检测引擎,并且不断进行了持续优化更新,不仅支持多种网络协议、常见编码、HTTP细分关键字等,大大提升了对威胁检测的有效性,希望对检测响应方向有兴趣的同学可以一起交流学习。
suricata匹配从入门到精通(三)----开始编写简单的snort规则
热门推荐
leeezp的博客
08-31 32万+
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。 欢迎关注专栏,会持续更新...
Linux Centos7环境 Suricata 安装
qq_35911309的博客
09-17 2403
文章目录一、Suricata是什么?二、Suricata安装使用步骤环境安装依赖包下载解压Suricata编译安装自动安装配置文件启动测试 一、Suricata是什么? Suricata是一个高性能的网络ID、IP网络安全监控引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)拥有。Suricata由OISF开发 官网地址:https://suricata-ids.org/ 二、Suricata安装使用步骤 环境 Suricata 4.1.8 on CentOS 7 安装依赖包.
Suricata】02-Suricata 7.0.x基础配置
Simo2024的博客
05-11 1493
配置Suricata的监听网络,包含单张网卡和多长网卡;配置规则集、测试规则集、配置日志轮训,防止单个日志文件过大。配置将日志发送到kakfa。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

于顾而言

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值