oh right. And even if it isn't Suricata itself is it something that could be "part" of Suricata i.e something you can install when you install Suricata or is this sort of thing not going to be done? I know file entropy was on the possible features list after the last meeting so i guess you mean to have suricata to dump it to disk and then another post processing tool check the file (or score it, i.e a value of entropy, IATs, AV before a file is determined to be malicious or likely malicious). <br>
<br><div class="gmail_quote">On 14 April 2011 09:25, Victor Julien <span dir="ltr"><<a href="mailto:victor@inliniac.net">victor@inliniac.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div class="im">On 04/14/2011 10:16 AM, Kevin Ross wrote:<br>
> Probably. I am not a programmer so I am unsure of the practicalities of<br>
> implementing a dream :) WIth multiple unified files would it all be able to<br>
> be processed into a single front end (i.e barnyard2 into a database for<br>
> viewing in BASE or snorby)?<br>
<br>
</div>Usually frontends like that support multiple "sensors" which we would<br>
have in this case. One sensor would be Suricata, another the file post<br>
processing tool.<br>
<div><div></div><div class="h5"><br>
Cheers,<br>
Victor<br>
<br>
<br>
--<br>
---------------------------------------------<br>
Victor Julien<br>
<a href="http://www.inliniac.net/" target="_blank">http://www.inliniac.net/</a><br>
PGP: <a href="http://www.inliniac.net/victorjulien.asc" target="_blank">http://www.inliniac.net/victorjulien.asc</a><br>
---------------------------------------------<br>
<br>
</div></div></blockquote></div><br>