All I want from the engine is protocol decoding, grepping, and a big fat two-way pipe to everything else.  I think those other tasks are still in scope for the OISF group, I just want to keep them as far away from libpcap as possible.<br>
<br>--Martin<br><br><div class="gmail_quote">On Thu, Mar 5, 2009 at 1:47 AM, Victor Julien <span dir="ltr"><<a href="mailto:lists@inliniac.net">lists@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;">
<div class="im">Edward Bjarte Fjellskål wrote:<br>
> I want to take this one step further, and try to do this automatic... Im<br>
> working on a little perl daemon, to sniff the traffic, and detect OS and<br>
> Services running on my network. Hopefully, in the future, this could be<br>
> used to<br>
> automatically help in the "auto categorization" of events... in sguil or<br>
> other IDS gui...<br>
> ( <a href="http://www.gamelinux.org/?p=43" target="_blank">http://www.gamelinux.org/?p=43</a>  and  <a href="http://gamelinux.github.com/prads/" target="_blank">http://gamelinux.github.com/prads/</a> )<br>
<br>
</div>I'm still a bit torn on whether we should have the engine itself do the<br>
detection of this information or if we should enable the engine to be<br>
fed this info by external programs like your prads.<br>
<br>
Thoughts anyone?<br>
<br>
Regards,<br>
Victor<br>
<font color="#888888"><br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
</font><div><div></div><div class="h5"><br>
_______________________________________________<br>
Discussion mailing list<br>
<a href="mailto:Discussion@openinfosecfoundation.org">Discussion@openinfosecfoundation.org</a><br>
<a href="http://lists.openinfosecfoundation.org/mailman/listinfo/discussion" target="_blank">http://lists.openinfosecfoundation.org/mailman/listinfo/discussion</a><br>
</div></div></blockquote></div><br>