Sto lavorando in snort 2.9.8.0. Voglio modificare il codice snort per Portscanning Detection, i.e spp_sfPortscan.c e il relativo codice per costruire un rilevatore PortScan personalizzato.
Es: supponiamo che A stia scannerizzando 10 porte di B che sono molto critiche, come 139,445, ecc. E C sta analizzando 20 porte non critiche di D. Ora, voglio calcolare un punteggio medio per ciascun host di scansione, che sarebbe [Peso (porte critiche) * numero di porte critiche + Peso (porte non critiche) * numero di porte non critiche] / N. totale. delle porte scansionate.
Se il punteggio per un host supera una soglia, solo io generi un avviso per quell'host, altrimenti no.
Chiunque mi suggerisca, per quanto riguarda dove dovrei scrivere codice per calcolare (come in, dove in spp_sfPortscan.c o quali funzioni dovrebbero essere agganciate).
Sono certo che le persone devono essere andate molto più lontano di così e sarebbe molto utile per aiutare @Newbies condividendone alcune.
Grazie e saluti Cyrus