<div dir="ltr">Hi all,<div><br></div><div>I've been browsing the Suricata code for a while and had a few questions, I'd be glad if someone could help clarify-</div><div><ol><li>Since a single thread does decode-stream-detect for a packet, a stream could be incomplete when it goes to the "detect" phase.<br>How do you apply rules to an incomplete stream? Does the "detect" phase wait for the stream to complete?<br><br></li><li>How does Hyperscan work with Suricata? Do you send packets to it or a stream? I don't see a specific interface where one can inject a stream instead of packets.</li></ol></div><div>Thanks,</div><div>Nafisa</div></div>