<div class="gmail_quote">Hi All,</div><div class="gmail_quote"><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div class="im"><br>
</div>You can do it via Prelude correlator for instance. For instance, it has<br>
a dshield correlation rules : if source of the alert is present in<br>
dshield offender base, it will increase the severity of the alert (or<br>
generate a correlated alert).<br>
<br>
And I think that doing asynchronous treatment (or simple long duration<br>
treatment) is not the work of the IDS but rather the work of an external<br>
correlator:<br>
      * In IDS mode, packet is gone and we can wait for external<br>
        treatment, no need to overload the IDS<br>
      * In IPS mode, we have to wait for the external treatment and it<br>
        will introduce a undecent delay. Thus external checking is not<br>
        acceptable.<br>
<br></blockquote><div><br></div><div> I consider myself new to Suricata and am somewhat unfamilar with its internals.  I say I have to agree with Eric here, though.</div><div><br></div><div>The job of the IPS/IDS engine for any similar product should be to identify the traffic coming across the wire in whatever method it (or the devs) see fit.  To do any further analysis, the offending packet or packet streams should be stored in a fashion that can be forwarded on to some other analysis package.  Once the IPS engine has decided to block or allow packets, the IPS has done its job.</div>
<div><br></div><div>I like the question that Robert asks about the way Suricata's threads are managed...  Is it 1 thread per packet or 5 threads all analyzing one packet at the same time?</div><div><br></div><div>I don't really understand the intricacies involved in either method of development, but I can see both advantages and disadvantages going in both directions.  Would anybody that understands more than I do care to give a simple example of each?  (not code -- an explanation, that is).  Feel free to reply off-list.</div>
<div><br></div><div>See Yas!<br>~Brant</div><div><br></div></div>