suricata规则阈值设置

最新推荐文章于 2024-07-12 08:14:04 发布
最新推荐文章于 2024-07-12 08:14:04 发布
阅读量4.2k 收藏 1
点赞数 5
分类专栏: 安全 文章标签: suricata 规则 阈值
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011311291/article/details/97185480
版权

suricata对规则的阈值分为规则上的阈值和全局阈值,全局阈值覆盖规则上的阈值
但是按照使用的情况来说比较坑
1.规则上的阈值
格式:
threshold: type <threshold|limit|both>, track <by_src|by_dst>, count , seconds

type <threshold|limit|both>
threshold:在seconds秒内,达到count,就产生告警
limit:在seconds秒内最多只能报count次
both:在seconds秒内达到count次后产生一次告警,并且在seconds秒只会产生一次告警

track <by_src|by_dst>
坑的地方,下面讲
by_src:表示同一源
by_dst:表示同一目的

例如有规则:

alert tcp any any -> $MY_SSH_SERVER 22 (msg:"Connection to SSH server"; \
  threshold: type threshold, track by_src, count 10, seconds 60,flow:to_server; flags:S,12; sid:888;)

这条规则的意思是说当同一源在1分钟内有5次ssh,就会产生告警
但是当例如有:
192.168.1.12 ->192.168.1.5 ssh链接3次然后紧跟
192.168.1.12 ->192.168.1.6 ssh 链接2次
这会触发上述规则,但是在告警中的目的主机只有192.168.1.6,而没有192.168.1.5

2.全局阈值告警
有3种,可以写在threshold.conf文件中,然后在suricata.yaml文件中开启,全局阈值会覆盖规则阈值
(1)threshold/event_filter,这两个相同,和规则阈值一样

threshold gen_id <gid>, sig_id <sid>, type <threshold|limit|both>, \
  track <by_src|by_dst>, count <N>, seconds <T>

表示给sid:2002087这条规则填上(或者是覆盖)上阈值,如果sig_id 0,则表示对所有规则有效

threshold gen_id 1, sig_id 2002087, type both, track by_src, count 3, seconds 5

(2)rate_filter,改变规则中的action动作
规则中的动作有pass,drop,pass,reject,

rate_filter: rate_filter gen_id <gid>, sig_id <sid>, track <by_src|by_dst|by_rule|by_both>, \
  count <c>, seconds <s>, new_action <alert|drop|pass|reject>, timeout <timeout>

(3)suppress,过滤到匹配上的IP白名单

suppress gen_id <gid>, sig_id <sid>, track <by_src|by_dst|by_either>, ip <ip|subnet|addressvar>

例如

suppress gen_id 1, sig_id 2002087, track by_src, ip 209.132.180.67
姚贤贤
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
suricata匹配从入门到精通(二)----suricata 绕过系列(持续更新...)
leeezp的博客
08-19 33万+
在使用suricata的过程中遇到很多绕过(检测引擎漏报)或者说suricata现有架构难以实现检测(检测引擎误报)的部分,这里简单记录一些复现,没有一一总结了,就想到哪里写到哪里,陆续更新吧。(欢迎同好交流) suricata bypass,suricata 绕过...
网络安全·网络入侵检测系统
不忘初心,护天下安全!
04-11 7825
网络入侵检测系统 从前面的学习中,我们学会了获取和监听流量,然而想实际为网络安全防护提供技术支撑,就要做成网络入侵检测系统(network intrusion detection system,NIDS),对收集漏洞信息、造成拒绝访问及获取超出合法范围的系统控制权等危害计算机系统安全的行为,进行检测。 网络入侵检测系统通常包括三个必要的功能组件:信息来源、分析引擎和响应组件。 信息来源:它负责收集被检测网络或系统的各种信息,并把这些信息作为资料提供给IDS分析引擎组件。 分析引擎:它利用统计或规则的方式找
suricata 配置文件threshold
weixin_30871293的博客
04-11 1292
threshold threshold阈值)关键字可用于控制规则的警报频率,它有3种模式: threshold: type <threshold|limit|both>, track <by_src|by_dst>, count <N>, seconds <T> type “threshold” 此类型可用于在规则生成警报之前为...
suricata是什么?
最新发布
百态老人的博客
07-12 872
Suricata是一款高性能的网络安全检测引擎,它具备多种功能,包括网络入侵检测系统(IDS)、入侵预防系统(IPS)和网络安全监控引擎。在网络安全中,Suricata的作用主要体现在以下几个方面:1. 入侵检测与预防:Suricata能够监测网络流量,识别潜在的恶意行为,如黑客攻击、病毒传播等,并采取相应的预防措施来阻止这些威胁。2. 协议支持:Suricata支持多种网络协议,使其能够在不同的网络环境中有效地工作。
suricata关键字threshold
qq_44479162的博客
06-21 517
功能:在一个T(seconds)时间窗口内,当规则匹配中N(count)次,就产生一个告警。: 当第一个命中规则告警包来时,构建结点并记录此时第一个包的时间和命中的规则的seconds(时间窗口),并且结点上的count++,插入哈希表。在一个T(seconds)时间窗口内,当规则匹配中N(count)次之后,开始产生告警。功能:在一个T(seconds)时间窗口内,当规则匹配中N(count)次,就产生一个告警。功能:在一个T(seconds)时间窗口内,最多产生N(count)次告警。
目标检测的阈值
weixin_49783489的博客
04-07 578
c.将剩下的检测框按置信度分数从高到低排序,最先判断置信度分数最高的检测框与gt bbox的IoU是否大于IoU阈值(即·上面所说的IoU阈值d),若IoU大于设定的IoU阈值即判断为TP,(除开背景类,因为背景类不需要进行NMS),将所有预测框按照置信度从高到低排序,将置信度最高的框作为我们要保留的此类别的第1个预测框,这里的iou阈值是控制置信度最大的预测框和真实值之间的iou,这里的iou越小计算的map越大。所以这里的iou阈值是控制冗余框和置信度最大的预测框的iou,这里的iou越小越严格。
告警事件规则动态阈值
hongliangpan
12-04 4894
告警事件规则 默认情况下所有HQ里没有任何一个报警规则的。不过你可在它的问题资源模块上看到OOB次数。OOB是Out Of Bound的简称,意思是超出边界,那么边界在那?边界在Baseline上,baseline会在每几天算一次,它并不是平均值,某个监控资源的实际忙 闲程度水平的参考面。例如如果你的CPU平时都不超过30%的话,它的基线可能是20%,如果某次采样数据是24%了,OOB的数量就被加...
suricate的规则
05-07
7. **误报降低**:为了减少误报率,规则包可能包含调整,如增加否定匹配(not operator)来排除某些已知的良性流量,或者设置阈值来限制触发警报的频率。 综上所述,"suricate的规则包"是维护网络安全的关键组件,...
suricata规则编写-检测ssh爆破攻击
whime
05-22 3653
步骤: 1. 使用hydra攻击ssh服务器,利用tcpdump 抓包。 2. 编写suricata规则 3. 重放pcap包测试效果。 利用hydra和 tcpdump获取攻击流量包 在
Suricata用户手册 V4.0.0
08-28
规则阈值用于设置触发告警的频率或条件,例如设置最大匹配次数,或是使用过滤器来限制告警的输出。此外,DNS关键字、SSL/TLS关键字、Modbus关键字以及DNP3关键字则允许Suricata对特定协议进行深入的解析和检测。 ...
Snort 与 Suricata功能比较
weixin_34269583的博客
10-05 4434
因为pfSense与OPNsense在IDS上使用不同的引擎,前者使用Snort,后者使用SurIicata,本文对这两种IDS进行简单的介绍。至于pfSense和OPNsense有什么不同,请参考这篇文章。Snort自发布以来,多年来一直是事实上的IDS引擎,它拥有庞大的用户社区,以及范围广泛的Snort规则订阅者,这些规则不断扩大,促进了Snort的普及和推广。尽管与Sn...
Suricata通过logstash将告警事件送往Kafka
u011311291的博客
01-11 1348
一.安装logstash,解压即可使用 环境装有jdk1.8 tar -zxvf logstash-6.5.4.tar.gz 二.自己创建logstash运行配置文件 比如创建:config/logstash.conf input { file { path =&amp;amp;amp;gt; [&amp;amp;quot;/usr/local/var/log/suricata/eve.json&amp;amp;quot;]//Suricata告警事件文件路径
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6516
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
Ubuntu使用笔记(Talk is cheap,show me the code.)
yunlin2000的专栏
06-03 716
删除自动获取的IP: 重新获取IP: 2022年06月03日
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
hhd1988的专栏
08-19 3040
Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。 How 通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主
Suricata入侵检测系统的搭建
煜铭2011
11-20 8639
0x01、安装CentOS1 基于CentOS-6.8-x86_64-bin-DVD1.iso,安装时选择desktop, customiz now,databases-->>mysql*, 进行安装mysql, 这里我们要配置可以访问外网。尽量选择多的开发包,不要选择最小化安装,因为那样的话,系统会缺失很多依赖包的,在后期编译的时候会出现很多问题的。毕竟现在硬盘和内存都很大了,不必节省那么点空间
suricata规则编写-检测SYN-Flood攻击
whime
05-22 3443
步骤 Kali虚拟机使用hping3发起SYN泛洪攻击,伪造随机地址。 利用flags标志和threshold关键字编写规则 测试 hping3发起SYN泛洪攻击 利用Kali工具hping3 发起SYN半连接泛洪攻击 编写规则 suricata兼容snort规则 ,使用flags标志配合threshold编写规则,flags:S表示匹配SYN标志位为1的tcp包,根据dst进行跟踪,在30...
vue数组优化的两种方法track-by和key 这两个有什么区别
ion_L的博客
10-09 2435
1.  v-bind:key="  " 是vue2.x提出的,1.x的写法是track-by=" " 2、(1)vue1.x中v-for不能显示重复数据,要在v-for的元素内定义track-by="$index",即以序号为索引,如此当增加或者删除数据,view都会跟着改变。但是需要注意如此修改的数据并不能同步到页面,因为其index并没有改变。如下: &lt;!DOCTYPE html&...
Suricata规则阈值详解:控制警报频率
此外,文档还提供了不同操作系统的安装指南以及Suricata规则的详细解析,包括规则的各个组成部分如协议、地址、端口、方向、动作等,以及各种关键词的用法,如内容匹配、PCRE正则表达式、TCP和HTTP关键字等。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值