Estoy trabajando en snort 2.9.8.0. Quiero modificar el código de snort para la detección de escaneo de puertos, es decir, spp_sfPortscan.c y su código relacionado para crear un detector portScan personalizado.
Ejemplo: supongamos que A está escaneando 10 puertos de B que son altamente críticos, como 139,445, etc. Y C está escaneando 20 puertos no críticos de D. Ahora, quiero calcular una puntuación promedio para cada host de escaneo, que sería [Peso (puertos críticos) * no. De puertos críticos + Peso (puertos no críticos) * no.de puertos no críticos] / Total no. de puertos escaneados.
Si la puntuación de un host supera un umbral, solo generaré una alerta para ese host, de lo contrario no.
Cualquier persona, por favor, sugiérame dónde debo escribir el código para el cálculo (como en, dónde en spp_sfPortscan.c o qué funciones deben estar conectadas).
Estoy seguro de que la gente debe haber ido más lejos que esto y sería una gran ayuda ayudar a @Newbies compartiendo algo.
Gracias y Saludos Cyrus