减少/限制Snort规则触发器(Syn Flood)发出的警报数量

Question

因此，我有一个snort规则来检测syn洪水攻击，如下所示：

提醒tcp任何-> $HOME_NET 80 (msg：“SYN SSH"；标志:s；流:无状态；detection_filter:跟踪by_dst，计数40，秒10；GID:1；sid:10000002；rev:001；classtype:尝试-dos；)

问题是，当我使用tcpreplay (使用Ddos.pcapng文件)触发它时：

sudo -i接口/home/Practicak/DDoS.pcapng

在监听我的VM1时，在运行TCP重放之后，我会收到很多警报。例如，一零零秒的Syn Flood检测到警报。

我如何限制这一点，使我只得到很少/1的警报，每一个Syn洪水，已启动？例如，在pcap中使用TCPReplay。&这是减少警报显示的好做法吗？

谢谢

Answer 1

@Liam，设定一个门槛是一个答案。参考文献：http://manual-snort-org.s3-website-us-east-1.amazonaws.com/node35.html

另一种方法是在您的警报日志输入的主数据存储中进行聚合，例如Elasticsearch或Splunk。