<html><head><meta http-equiv="Content-Type" content="text/html charset=us-ascii"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I'm working on a system in which I dynamically generate some rules for Suricata which I'd like to inject into a running system via the live rule swap capability. In particular, I'd like it to also work in IPS mode. I have some high level questions for which I couldn't seem to find the answer in the documentation:<div><br></div><div><ul class="MailOutline"><li>With live rule swap in place, are the old and new rule sets "double buffered" in the sense that the first set is active until the second set is put in place? For existing connections, do the old rules apply? For long term connections, how long to the old rules stick around?</li><li>About how long does it take for the new rules to be in effect?</li><li>Is there any way to add "incremental" rules - that is keep all the old rules but just add a few new ones?</li></ul><div><br></div><div>My apologies if I missed this in the documentation. If such documentation exists, I'd appreciate a link.</div><div><br></div><div>Thanks,</div><div>Dan Wyschogrod</div><div apple-content-edited="true">
<div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: medium; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: 2; text-align: -webkit-auto; text-indent: 0px; text-transform: none; white-space: normal; widows: 2; word-spacing: 0px; -webkit-text-size-adjust: auto; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">____________________<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Dan Wyschogrod<br><br></div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Senior Scientist</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Cyber Security</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Raytheon/BBN Technologies</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">10 Moulton St.</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">Cambridge, MA 02138</div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><a href="mailto:dwyschogrod@bbn.com">dwyschogrod@bbn.com</a><br></div></div><div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; "><br><a href="http://www.bbn.com">www.bbn.com</a><br></div></div></div></div>
</div>
<br></div></body></html>