問題タブ [intrusion-detection]

現在、プロジェクトの Snort IDS をテストしています。Snort 2.9.5.3 インストール ガイドに従いました。トラフィックを警告するように http_inspect を正しく構成するのに問題があります。

Snort が監視している (仮想) ネットワークは、DVWA (192.168.9.30) を実行している Ubuntu マシンと Kali Linux VM (192.168.9.20) で構成されています。/etc/passwd のパケットの内容に対してローカル ルールを作成しました。このルールは、Kali VM から DVWA VM に送信されたフラグメント化されたパケットを検出しました (ファイル インクルードを使用)。

URL エンコーディング、乗算スラッシュ、および自己参照 (以下を参照) のアラートを生成するように http_inspect を構成したと思います。回避方法を実行した後、Snort からの端末出力を確認すると、これらの方法の使用が検出されたことが示されますが、アラートは生成されません。

snort.conf

ローカルルール

署名ベースの侵入検知システムを構築しようとしていますが、ペイロードに対して正規表現を照合するときに、正規表現^の行頭での一致を意味するキャレットで始まる式に遭遇しました。

私が確認したかったのは、これがペイロード全体の先頭にあるのか、単に改行の後のペイロードのどこにあるのかということ\nです。

• 機械学習は KDD カップ データセットを使用して行われ、トレーニングされたデータセットが形成されます。
• ここで、トレーニングされたデータセットを使用してリアルタイム リクエストを確認する必要があります。

• そのためには、TCP ダンプ データ/または http 要求を KDD CUP データ セット形式 (41 個のパラメーター) に変換する必要があります。

  私の質問は、「どうすればこの変換を行うことができますか??」です。

私が試した私のコードは次のとおりです。

これを使用して、すべてのワイヤレス DATA パケットをキャプチャしたいのですが、マルチキャスト (IP/UDP) パケットしか取得できません。では、ワイヤレス ネットワークですべての DATA パケットを取得するにはどうすればよいでしょうか? このためにアクセス ポイントの暗号化を (一時的に) 無効にしたので、パケット単位でデータにアクセスできます。

私はsnortをインストールし、実行中にWindows8に次のエラーが表示されました

出力プラグインを初期化しています! プリプロセッサを初期化しています! プラグインを初期化しています! ルール ファイル "c:\snort\etc\snort.conf" の解析エラー: c:\snort\etc\snort.conf(51) DNS_SERVERS への引数がありません致命的なエラー、終了..レジストリ キーを作成できませんでした。