suricate规则更新脚本

最新推荐文章于 2023-08-02 11:30:00 发布
最新推荐文章于 2023-08-02 11:30:00 发布
阅读量219 收藏
点赞数
分类专栏: 安全攻防
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43886632/article/details/116659002
版权

前提

因为工作需要,需要从规则库中去更新最新的规则内容

思路
将新的规则文件去和老的规则文件做对比,将新的规则内容不在老的规则文件里面视为这个是需要更新添加的规则。

脚本

# -*- coding:utf-8 -*-

#更新所有规则的文件,将所有的规则合并后通过新的规则文件和老的规则文件对比,将新规则文件中不在老规则的文件内容提取出来。
import re 
import os



oldrule = [] #老的规则
newrule =[] #新的规则
uprules =[]
oldlj = [] #老的路径
newlj = [] #新的路径


def oldrules(oldrules):
    with open(oldrules,'r',encoding='utf-8')as fa:
        for old in fa.readlines():
            if "alert" in old:
                oldrule.append(old)
                
def newrules(newrules):
    with open(newrules,'r',encoding='utf-8')as fb:
        for new in fb.readlines():
            if "alert" in new:
                newrule.append(new)
                
def walfFile(file,name):
    for root,dirs,files in os.walk(file):
        for f in files:
            allfile = os.path.join(root,f)
            name.append(allfile)
            
            

oldru = "/home/oldrules" #老的规则文件路径
newru = "/home/updaterules" #新的规则文件路径
walfFile(oldru,oldlj)
walfFile(newru,newlj)
for oldi in oldlj:
    oldrules(oldi)
    
for newi in newlj:
    newrules(newi)

sum = 0
for i in newrule:
    if i not in oldrule:
        print(i)
        sum += 1
        with open("20210514.rules",'a',encoding='utf-8')as ff:
            ff.write(i)

print("总共更新了{0}规则".format(sum))

效果
在这里插入图片描述

php00py
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何使用Applocker保护Windows免受恶意软件和有害可执行文件的侵害?
cunjiu9486的博客
10-10 676
Windows ecosystem generally works with 3 party applications easily while installing and running them. This creates some risk especially for the novice users. Windows administrators generally want to r...
etupdate:更新Suricata的“新兴威胁”开放规则
05-08
更新 更新Suricata的“新兴威胁”开放规则集。 Fuuure版本也可以与ET Pro规则集一起使用。 正在安装 $ sudo git clone https://github.com/seanthegeek/etupdate.git $ sudo cp etupdate/etupdate /usr/sbin $ sudo /usr/sbin/etupdate.py -V 编辑crontab : $ sudo crontab -e 添加行: 42 * * * * /usr/sbin/etupdate 每小时之后,将每42分钟运行一次etupdate 。 您可能应该将42更改为其他时间,这样,遵循本教程的每个人都不会在同一时间向“​​新兴威胁”查询更新
Suricata详解
热门推荐
IAMZTDSF的博客
06-15 1万+
Suricata引擎能够进行实时入侵检测(IDS)、内联入侵预防(IPS)、网络安全监控(NSM)和离线pcap处理。是一款开源、快速、高度稳定的网络入侵检测系统Suricata引擎能够实时入侵检测,内联入侵防御和网络安全监控。Suricata由几个模块组成,如捕捉、采集、解码、检测和输出。Suricata使用强大而广泛的规则和签名语言来检查网络流量,并提供强大的Lua脚本支持来检测复杂的威胁。使用标准的输入和输出格式(如YAML和JSON),使用现有的SIEMs、Splunk、Logstash/Elast
Suricata规则下的威胁检测
m0_59598029的博客
08-02 728
流量对抗作为网络安全最关键、最重要的一个环节,针对流量的威胁检测显的尤为重要。同时以流量检测为支撑的安全产品层出不穷,其中XDR(拓展检测响应)目前最受欢迎。而suricata目前作为开源的优秀网络流量检测引擎,并且不断进行了持续优化更新,不仅支持多种网络协议、常见编码、HTTP细分关键字等,大大提升了对威胁检测的有效性,希望对检测响应方向有兴趣的同学可以一起交流学习。
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 6456
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
suricate的规则
最新发布
05-07
在2024年5月6日进行的更新中,Suricate的规则包可能包含了对现有规则的优化、新增的威胁签名以及对已知漏洞的响应。这种定期更新至关重要,因为网络安全环境瞬息万变,新的攻击手段和恶意软件不断涌现。通过保持规则...
suricate-开源
05-01
Suricate将猫鼬开放式有线服务带入了手持设备,无线电子邮件设备和交互式寻呼机领域。 我写了Suricate来解决那些在手持设备上提供电子邮件但没有网络访问权限的人们的需求。 苏尔
suricate:Suricate - 开放数据科学服务平台
06-14
Suricate 是一个非常简单的基于 Python 的分析服务,最初设计用于分析来自数据流,以了解数据中心/云中的应用程序/服务行为。 基于该模型可以创建。 最后,可以根据模型和通过 AMQP 的新传入数据触发操作(用于优化...
suricata-rules:Suricata针对新的严重漏洞制定规则
05-25
定期更新Suricata规则,并将其保存在管理良好的数据中。 内容结构 每个漏洞都拥有一个文件夹。 每个文件夹都有2个主要部分: 文件README.md包含3个部分: 漏洞概述 概念验证(PoC)或换句话说,是恶意有效载荷...
attentive-suricate:R级
05-30
细心的suricate R 的乐趣:R 中的生态数据分析(Ocean 5098) 该存储包含R (Ocean 5098) 中的生态数据分析课程的文档。 你可以fork这个仓并自由修改它的内容。你可以下载单独的topic .Rmd并将文件渲染成html来...
Suricata 新建规则
sinat_41915699的博客
04-20 1136
suiricata本身就支持很多规则,但是我们也可以自定义规则。根据官方文档,主要分为以下几个步骤。 1 新建local.rules规则文件 位置可以与suricata.yaml一致,也可以放到其他地方。最简单的规则如下 alert tcp any any -> any any (msg: "mytest"; sid:20210420;) 如果要建复杂规则,那么需要根据文档自己编写,支持协议的头内容分析,也支持协议携带的数据进行分析(content关键字)。 注意:每个规则的sid都是不一样的。 2
suricata-update用于更新和下载suricata规则
allway2的博客
07-09 2795
Suricata-update suricata-update用于更新和下载suricata规则更新您的规则 不进行任何配置,suricata-update的默认操作是使用“新兴威胁开放”规则集。 suricata-update 该命令将: 在您的路径中查找suricata程序,以确定其版本。 查找/etc/suricata/enable.conf,/etc/suricata/disable.conf,/etc/suricata/drop.conf,和/etc/suricata/modi.
suricata源码之tag
村中少年的专栏
06-21 1132
介绍suricata源码中关于tag的实现方式
suricata应用层协议解析
City_of_skey的博客
02-14 3505
suricata应用层协议解析 1. 协议注册 应用层协议保存在全局变量static AppLayerParserCtx alp_ctx; typedef struct AppLayerParserCtx_ { AppLayerParserProtoCtx ctxs[FLOW_PROTO_M...
suricata smtp协议解析源码注释一
ljq32的专栏
09-10 1797
一。Suricata解析smtp协议整体思路 Smtp协议解析模块根据客户端与邮件服务器之间的每一个smtp交互命令,设置了多个状态即当前的smtp命令和解析阶段。 Smtp协议解析模块将smtp的交互过程视为一次事务,该事务记录了状态变化和解析阶段的过程,每次状态变化时,根据数据传输方向(客户到服务器,服务器到客户),根据当前方向对当前状态进行相应的处理。 例如:当客户端发送HELO命令后,事务的状态变为HELO,此时,服务器的操作就是处理HELO后反馈数据给客户端,客户端的操作就是解析服务器对HE
suricata-update管理规则
xuwaiwai的博客
01-21 3769
suricata-update 管理规则
开源IDS suricata源码分析(协议解析添加流程)
m0_50638175的博客
09-28 6648
Suricata新增协议解析 个人总结,新增协议解析分3步进行 生成新协议的解析模板 修改协议解析器实现 修改输出模块实现 1. 创建协议解析模板 对于新增协议解析,Suricata脚本可以自动生成框架代码patch,示例解析器,示例输出模块。一般在使用脚本生成模板后,仅需修改解析器实现和输出模块实现即可。 创建pop3协议的解析模板: python scripts/setup-app-layer.py Pop3 命令执后如下文件被修改或创建:(具体内容见附件) 框架代码文件 文件名 修改内
suricata规则
whatday的专栏
12-20 8476
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
suricata smtp协议解析源码注释六
ljq32的专栏
09-13 938
一。解析函数ProcessMimeBody:解析data命令的body数据 这个函数比较简单,主要查询boundary分界线,然后根据查找结果调用bounddary处理函数ProcessMimeBoundary,或者调用body数据处理函数 static int ProcessMimeBody(const uint8_t *buf, uint32_t len, MimeDecParseState *state) { int ret = MIME_DEC_OK; ui.
【总结】Update Rules
Aries_young的博客
09-07 261
经验总结 一般框架 定义: 待优化参数 θ\thetaθ 假设函数 hθ(x)h_\theta(x)hθ​(x),在监督学习中,为了拟合输入样本,我们都会有一个假设函数 损失函数 J(θ)=∑i=1m(hθ(xi)−yi)2J(\theta)=\overset{m}{\underset{i=1}{\sum}}(h_\theta(x_i)-y_i)^2J(θ)=i=1∑​m​(hθ​(xi​)−yi​)2 学习率 α\alphaα 流程: 计算损失函数关于此时参数的梯度 ▽θJ(θ)\bigtrian
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值