wsk004321的专栏

suricata中tv、slot和tm的关系必须要搞清楚，汇总如下：tv:ThreadVars类型，线程。slot：TmSlot类型，槽。tm:TmModule类型，模块。下面必须要结合三者的定义，阅读代码的时候也关注下三者关系。----------------------------------------线程的定义：typed

转载一篇美女的文章！O了O了！我现特想说：一个人Boyer-Moore都敢闹明白，他还有什么不敢的呢^_^ 经典单模式匹配算法：KMP、BM；经典多模式匹配算法：AC、Wu-Manber。貌似实用中，KMP跟C库strstr()效率相当，而BM能快上3x-5x。于是小女不才花了小天的功夫来研究这个BM算法。BM如何快速匹配模式？它怎么跳跃地？我今儿一定要把大家伙儿讲明白了，讲不明白

1. 问题原型：         给定一篇网页，其中有很多敏感词汇或者无效的词，需要找到一种算法，找到这些敏感词。2. 如何求解呢？    2.1 第一个简单的思路是：           step1： for i = 0 to in #text              step2:       foreach pattern p            step3

今天说说多模式匹配AC算法（Aho and Corasick），感谢追风侠帮忙整理资料，while(1) {Juliet.say("3Q");}。前面学习了BM、Wu-Manber算法，WM由BM派生，不过AC与它们无染，是另外一种匹配思路。 1. 初识AC算法Step1: 将由patterns组成的集合（要同时匹配多个patterns嘛）构成一个有限状

suricata命令行选项说明你能两种方式使用命令行选项，用一个横杠后面跟一个字符，或两个横杠后面跟一个单词，例如：-a--long-option==========================================================================-c这个选项是最重要的选项。在-c之后，要输入suricata.y

#include函数说明：函数getopt用来解析命令行参数。函数getopt_long支持长选项的命令行解析。函数原型：int getopt_long(int argc, char* const argv[],                          const char *optstring,          

Snort在1998年，Martin Roesch先生用C语言开发了开放源代码(Open Source)的入侵检测系统Snort.直至今天，Snort已发展成为一个多平台(Multi-Platform),实时(Real-Time)流量分析，网络IP数据包(Pocket)记录等特性的强大的网络入侵检测/防御系统(Network Intrusion Detection/Prevention

PCAP文件头：--------   24字节 ----------------PCAP文件标识：4字节当前主要版本：2字节当前次要版本：2字节当地标准时间：4字节时间戳的精度：4字节最大存储长度：4字节数据链路类型： 4字节-------------------------------------- Pack

使用wireshark抓包工具，默认存取为pcap文件，Pcap文件头24B各字段说明：Magic：4B：0x1A 2B 3C 4D:用来标示文件的开始Major：2B，0x02 00:当前文件主要的版本号      Minor：2B，0x04 00当前文件次要的版本号ThisZone：4B当地的标准时间；全零SigFigs：4B时间戳的精度；全零SnapLen：4B最

文章出自：http://blog.csdn.net/htttw/article/details/7521053libpcap是一个网络数据包捕获函数库，功能非常强大，Linux下著名的tcpdump就是以它为基础的。今天我们利用它来完成一个我们自己的网络嗅探器(sniffer)首先先介绍一下本次实验的环境：Ubuntu 11.04，IP：192.168.1.1，广播地址：1

main：注册运行模式（添加到全局的运行模式数组runmodes中）RunModeRegisterRunModes();--------------------------RunModeIdsPcapRegister();{    RunModeRegisterNewRunMode(RUNMODE_PCAP_DEV, "workers",      

经过上面几篇Blog的学习步骤，到今天再回过头去看了下main函数的执行过程，把重点几个步骤重新整理了下，方便更深入的理解架构。1. 注册各种运行模式   RunModeRegisterRunModes()函数      RunModeIdsPcapRegister();      // IDS+pcap   RunModeFilePcapReg

截止目前，结合开源中国中“背着笔记本流浪”的blog中文章，已经对main函数和数据包收取、解码有了初步了解。其中遇到的困难和疑惑的地方记录在这里，便于今后学习和提升。1、网络编程知识经验不足，suricata整个架构采用多线程编程的方式，如若不了解线程的用法，理解起来会存在一些难度。2、底层网络协议了解不够，需要日后补充下知识，感觉仅限了解的层面即可，至少可以看懂。3、在

Snort的TILE64移植 一、简述本文分析了如何利用Tilera的高速I/O库netio以及并行处理库ilib把Snort快速到TILE64上，以支持更大带宽的入侵检测。二、TILE64TILE64是Tilera公司于2007年发布的着眼于嵌入式应用的高性能通用CPU：从图中可以看出TILE64由64个主频工作在700~866的独立的核构成，每一