<div dir="ltr">Olá Lucas,<div><br></div><div>Suricata has event_type:anomaly. Quoting from the docs:</div><div><br></div><div>"Events with type “anomaly” report unexpected conditions such as truncated packets, packets with invalid values, events that render the packet invalid for further processing or unexpected behaviors."</div><div><br></div><div>This could be particularly useful for sinkholes, for example. Is this the type of detection you are looking for?</div><div><br></div><div>T</div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Mar 4, 2020 at 7:02 PM Lucas Augusto Mota de Alcantara <<a href="mailto:lama2@cin.ufpe.br">lama2@cin.ufpe.br</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hello everyone. I'd like to know if there's any available data or piece 
of information about the popularity of Rule-Based NIDS in comparison 
with Anomaly-Based NIDS in the market.</div><br>Does Suricata have any kind of anomaly-based detection tool or it only works with signatures?</div>
_______________________________________________<br>
Suricata IDS Users mailing list: <a href="mailto:oisf-users@openinfosecfoundation.org" target="_blank">oisf-users@openinfosecfoundation.org</a><br>
Site: <a href="http://suricata-ids.org" rel="noreferrer" target="_blank">http://suricata-ids.org</a> | Support: <a href="http://suricata-ids.org/support/" rel="noreferrer" target="_blank">http://suricata-ids.org/support/</a><br>
List: <a href="https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users" rel="noreferrer" target="_blank">https://lists.openinfosecfoundation.org/mailman/listinfo/oisf-users</a><br>
<br>
Conference: <a href="https://suricon.net" rel="noreferrer" target="_blank">https://suricon.net</a><br>
Trainings: <a href="https://suricata-ids.org/training/" rel="noreferrer" target="_blank">https://suricata-ids.org/training/</a></blockquote></div>