Articles précédents : Logiciel
- [44] Sortie de la GeeXboX 0.96 : Xmas Edition
- [5] Développer en Java sous Linux pour PDA
- [9] Rockbox 2.1 est sorti
- [15] Les ATELIERS de Géométrie en licence GNU/GPL
- [27] L'hommage discret de Sun à la communauté Linux
- [78] Winamp 3 en open source
- [29] Test de SourceMage 0.7.1
- [34] Mozilla 1.6 beta
- [8] RTAI annonce la version 3.0-test1
- [70] Sun abandonne sa participation à Eclipse
Liens connexes
- Site de Snort (1929 hits)
- Téléchargement de la nouvelle version (719 hits)
Dépêche modérée par
Cette nouvelle branche propose une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée), et une évolution majeure dans l'écriture des règles : la compatibilité avec nos merveilleuses amies les regex (expressions rationnelles). La refonte des préprocesseurs devrait encore améliorer les performances tout en diminuant les faux positifs.
Pour mémoire, Snort est un outil de détection d'intrusions réseau (NIDS). Il est completé par une multitude de plugins et d'outils d'analyse. Il est considéré comme le meilleur NIDS par beaucoup de spécialistes.
Ce qui fait sa plus grande force est la facilité d'écriture de ses règles, qui sont régulièrement mises à jour par la communauté et des sites sérieux comme WhiteHats et ArachNIDS.
![[en]](../../../images/en.png)
Site de Snort (1929 hits)-
Téléchargement de la nouvelle version (719 hits)
> Lire les commentaires (24 commentaires, moyenne: 4,8).
[+] Re: Sortie de Snort 2.1.0
J'ai un ami fana de sécurité qui va aimer.
A moins que je confonde avec Fnord ?
P.S. : Preums
Panther .5, case-sensitive
[+] Re: Sortie de Snort 2.1.0
Depuis le temps que je l'attendais, ca me remplit de joie :)
Merci Bilbo
Re: Sortie de Snort 2.1.0
avec nos merveilleuses amies les regex (expressions rationnelles)
hum... c' est pas expression régulières plutôt?
-
[^]Re: Sortie de Snort 2.1.0
Posté par Bilbo () le 19/12/2003 à 16:29. (lien). Évalué à 11.Le rajout est du au modo, mais il me semble que la traduction technique de regular expression est bien "expression rationnelle".
cf http://www.linux-france.org/prj/jargonf/R/regex.html(...)
-
[^]Re: Sortie de Snort 2.1.0
Posté par Amaury () le 19/12/2003 à 16:48. (lien). Évalué à 9.> > avec nos merveilleuses amies les regex (expressions rationnelles)
> hum... c' est pas expression régulières plutôt?
non.
mais l'erreur est fréquente.-
[^]Troll linguistique ?
Posté par nis (page perso, ) le 19/12/2003 à 19:42. (lien). Évalué à 11.>> > avec nos merveilleuses amies les regex (expressions rationnelles)
>> hum... c' est pas expression régulières plutôt?
>non.
>mais l'erreur est fréquente.
Les 2 sont acceptés, et les expressions régulières sont plus communément utilisées
(cf http://www.googlefight.com/cgi-bin/compare.pl?q1=%22expressions+r%E(...) si c'est valable comme argument ....)
, ça n'est pas une erreur.
Plus de détails dans la préface de "Maîtrise des expressions régulières" d'O'Reilly ...-
[^]Re: Troll linguistique ?
Posté par chl (page perso, ) le 19/12/2003 à 20:44. (lien). Évalué à 7.Je pensais comme Amaury, et puis j'ai changé d'avis :
citations :
http://www.linux-france.org/prj/jargonf/E/expression_rationnelle.ht(...)
expression rationnelle
loc. f.
Chaîne de caractères décrivant le contenu de chaînes selon des conventions données (exemple : '?' remplace un caractère, '*' remplace n'importe quel groupe de caractères ...), le plus souvent utilisées afin de rechercher un texte.
http://www.linux-france.org/prj/jargonf/E/expression_reacguliegrre.(...)
expression régulière
loc. f.
Précédemment, je disais ici même que cette locution était un Anglicisme provenant d'une mauvaise traduction de « regular expression ». En fait, manifestement, la traduction n'est pas plus mauvaise qu'une autre... (++).-
[^]Re: Troll linguistique ?
Posté par areu () le 20/12/2003 à 10:08. (lien). Évalué à 6.en fait les deux sont justes, reguliere est plutot utilisé par les anglophones, rationnel par la communauté française. En fait,
rationnel avait été proposé par M.P.Shützenberger (je crois) par analogie entre les langages rationnels et les fonctions rationnels.-
[^]Re: Troll linguistique ?
Posté par drac () le 20/12/2003 à 16:16. (lien). Évalué à 3.Moi, j'aurais dit qu'un langage rationnel pouvait être décrit à l'aide d'expression régulière. (enfin c'est peut etre qu'un vague souvenir)
-
[^]Re: Troll linguistique ?
Posté par Matthieu Moy (page perso, ) le 20/12/2003 à 23:35. (lien). Évalué à 2.Moi, on m'a toujours appris qu'un langage régulier était défini par une expression régulière. (Et j'ai fréquenté des gens relativement spécialistes de la question, ayant plus ou moins fait mon DEA là dessus ...)
Je ne sais pas trop si il y a une référence pour la traduction des termes techniques. En tous cas, si c'est une faute de traduction, elle est sans doute au moins aussi courrante que "implémentation" pour "implantation" (Ce qui est d'ailleurs assez comique : les deux mots ont pris une signification bien distinctes, alors que le premier n'est pas dans le dictionaire ;-)-
[^]Re: Troll linguistique ?
Posté par fmaz fmaz () le 22/12/2003 à 14:24. (lien). Évalué à 2.En français, on parle de langages rationnels. Les langages rationnels sont les langages décrits par des expressions rationnelles et ce sont ceux reconnus par des automates finis.
Ces langages rationnels forment une sous classe des langages algébriques. Ceux-ci sont les langages reconnus par des grammaires algébriques (context free en anglais dans le texte).
Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à coefficients entiers).
Mes deux centimes.-
[^]Re: Troll linguistique ?
Posté par Matthieu Moy (page perso, ) le 22/12/2003 à 15:27. (lien). Évalué à 2.> Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les
> fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
> coefficients entiers).
Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. Pourtant, c'est bien une "regular expression", et un "rational number".
Même joueur, joue encore ...-
[^]Re: Troll linguistique ?
Posté par areu () le 24/12/2003 à 18:25. (lien). Évalué à 1.>> Pourquoi rationnels et algébriques, ben parce que les nombres rationnels (les
>> fractions) sont inclus dans les nombres algébriques (racines d'un polynôme à
>> coefficients entiers).
>
>Traduit ta phrase en anglais. Tu verras que l'explication se tient toujours. >Pourtant, c'est bien une "regular expression", et un "rational number".
>
>Même joueur, joue encore ...
oui mais les anglophones n'ont pas fait l'analogogie, en francais on utilise
plutot rationnel, mais rationnel=regulier. en fait, on dit plutot
langage rationnel et expression reguliere ....
ensemble des langages engendrés par expression reguliere= ensemble des langages reconnus par automates d'etats finis = ensemble des langages rationnels
-
-
-
-
-
-
-
[^]Re: Troll linguistique ?
Posté par Patrice Karatchentzeff (page perso, ) le 25/12/2003 à 15:40. (lien). Évalué à 1.Plus de détails dans la préface de "Maîtrise des expressions régulières" d'O'Reilly ...
Le seul mauvais livre des éditions O'Reilly, non pas du point de vue technique mais sur le plan de la traduction...
Le prendre en référence ne vaut rien sur ce coup-là : le livre est tellement bourré d'angliscisme qu'il en est pénible à lire : autant lire l'original...
Cela descridite d'ailleurs la démarche de l'auteur dans la préface sur la dualité rationnelle-régulière.
Personnellement, rationnelle est utilisée depuis le début par O'Reilly et l'excellente équipe de traducteurs et d'auteurs francophones. Je ne vois pas l'intérêt de revenir dessus, à part pour faire plaisir aux geeks qui pensent qu'une librairie est un morceau de code que l'on peut lier ou non dynamiquement avec le reste de son code...
PK
-
-
Re: Sortie de Snort 2.1.0
Pour ceux qui aiment bien les ids, il y a également le projet prelude http://www.prelude-ids.org/.(...)
Prélude est qualifié d'hybride car il permet de surveiller un serveur comme un réseau complet grâce à la dépose de sonde sur les noeuds important du réseau. Il est - était ? - compatible avec les règles de Snort et est capable de reverser les tests de Nessus pour les transformer en règles de filtrage.
j'en ai fini avec la pub :)
bonne soirée
--
-
[^]Re: Sortie de Snort 2.1.0
Posté par snihf (page perso, ) le 19/12/2003 à 18:09. (lien). Évalué à 19.En fait il y a mieux encore.
Prelude est capable d'interagir avec Snort.
(En fait avec Snort, honeyd, nessus, nagios, systrace, libsafe et argus)
Voir : http://prelude-ids.org/rubrique.php3?id_rubrique=24(...)
Frontend.
Niveau frontend, il y a http://acidlab.sf.net(...) qui permet de se faire une représentation graphique relativement intéressante. Pour l'utiliser il faut avoir configurer snort pour qu'il intéragisse avec une base de donnée.
Acutellement la version d'acidlab n'est pas à jour dans Debian pour des histoires de licenses, et le support PostgreSQL est brisé, c'est pourquoi je suis à la recherche d'un autre fronted du même type, si vous avez des noms de porjets intéressants, je suis preneur :)
-
[^]Re: Frontend.
Posté par Ankill () le 20/12/2003 à 11:49. (lien). Évalué à 8.Au niveau frontend, je n'ai pas vu mieux qu'Acid pour l'instant.
Il existe aussi SnortSnarf, créé par Silicon Defense. C'est un script perl qui traite les journaux de Snort et qui génère des pages HTML. Il a quelques fonctions en plus, comme la résolution des adresses IP en leur nom de domaine.
http://www.silicondefense.com/software/snortsnarf/(...)
Son intêret peut se trouver dans sa portablité, et qu'il fonctionne sans base de données de type Mysql.
Le bon duo serait Acid sur une machine dédiée, et SnortSnarf sur une autre accessible via son browser préféré.
Il y a aussi l'outil Scoring Tool du Center for Internet Security spécialement concu pour Windows. Je ne l'ai vu qu'une fois en oeuvre, donc je ne sais pas trop ce qu'il fait.-
[^]Re: Frontend.
Posté par Bilbo () le 20/12/2003 à 13:09. (lien). Évalué à 4.Je suis en train de mettre en oeuvre SnortSnarf pour traiter les logs de spp_portscan et spp_portscan2, et je peux te dire que si ACID est gourmant en mémoire, Snarf, lui, est un gros gros glouton...
Il me flingue pratiquement tous mes process quand j'essaie de le faire tourner sur plus de 6h de logs. C'est vrai qu'il est agrébale à utiliser, mais çca reste quand même un problème.-
[^]Re: Frontend.
Posté par Guillaume D. () le 20/12/2003 à 17:02. (lien). Évalué à 5.Salut,
c'est un faux problème :
"nice -n 20 SnortSnarf " et voila !
c'est pas beau linux !
guillaume-
[^]Linux ... Linux ... Euh ... Unix plutôt
Posté par Sébastien Santoro () le 22/12/2003 à 21:11. (lien). Évalué à 1.> c'est pas beau linux !
juste une toute petite préçision : nice est apparu dans AT&T UNIX, version 4 ;)-
[^]Re: Linux ... Linux ... Euh ... Unix plutôt
Posté par Matthieu Moy (page perso, ) le 23/12/2003 à 09:07. (lien). Évalué à 2.Chuuuuut ! Les avocats de SCO vont entendre ...
-
-
-
-
-
[^]Re: Frontend.
Posté par cdtsylvestre () le 20/12/2003 à 19:07. (lien). Évalué à 5.et au niveau de l administration des regles?
pour les gérer , ajouter les nouvelles, les trier ....?
pque acid ne permet que d affiches les logs
j ai cherché (peut etre pas assez longtemps) mais j ai rien trouvé à part snort center mais qui n avance pas tres vite :-(
Re: Sortie de Snort 2.1.0
> une refonte presque totale de la majorité des pré-processeurs (plugins d'entrée)
Une fois pour toute: il faudrait bien comprendre que Snort n'a pas de système de plugins. Les "pré-processeurs" sont linkés à la compilation de Snort. Un plugin, lui, est une librairie chargable dynamiquement et Snort ne les supporte absolument pas.
> une évolution majeure dans l'écriture des règles : la compatibilité avec nos
> merveilleuses amies les regex (expressions rationnelles).
Merveilleuse: tout dépend du contexte.
Les regex sont certe un outil très puissant, mais aussi très gourmand au niveau du temps de traitement.
Je ne sais pas si vous connaissez les rulesets Snort, mais ceux-ci sont deja remplis à outrance de signatures plus qu'inutiles, ainsi que de signatures mal écrites (typiquement, une signature essayant de reconnaitre une chaine d'un seul caractère va affecter sans commune mesure les algorithmes de traitement de chaine du type Boyer Moore, rendant ceux-ci totalement inéfficaces).
Les regex apportent une facilité dans l'écriture des signatures, mais leur utilisation va dégrader les performances de façon très importante. Alors qu'une signature similaire, et bien plus rapide, aurait souvent pu etre écrite sans le support des regex (ou avec un support des regex _limité_).
> La refonte des préprocesseurs devrait encore améliorer les performances tout
> en diminuant les faux positifs.
La refonte des préprocesseurs n'améliorera pas les performances (ou alors de façon imperceptible).
Le cout majeur en terme de performances, provient des algorithmes de recherche de chaine, ainsi que du moteur de signature de Snort qui n'utilise pas un algorithme de traversé efficace.
Cette page a été générée par Templeet en 0.1449s (dont 0.0427 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
Faire un don !
Cette discussion est archivée, il n'est plus possible de laisser des commentaires.
Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.