Realmente casi todo es relevante, si es un IDS realmente debería detectar la actividad normal contra la de un Intruso valga la Redundancia.

Segun veo tu paquete:
IP de origen
2803:9400:3:5fc9:5599:9c50:4514:c593
Puerto
40540
 con Destino a
2a03:2880:f043:11:face:b00c:0:2
Puerto 443 (HTTPS)
TTL:64 (De salida por default en sistemas muchos sistemas Linux)

Existen muchos vectores de ataque entonces lo que tendría que hacer tu IDS es primero aprender cual es la actividad normal y posteriormente detectar anomalías.

Por ejemplo ese es solo el paquete IP, sobre el va algo de data TCP 32 bytes Y sobre eso van datos que procesa el navegador del cliente y el servidor WEB (Para este caso).
Otra cosa, para comunicaciones que viajan sobre SSL no podrás ver los datos que realmente se enviando por que esta cifrados.

Es algo bastante complejo, si necesitas un background de Redes y de Paquetes.

Saludos!

No pues de que aqui estamos para ayudar


No influye, básicamente te indica que no tiene ningun preproceso configurado, snort ademas de poder mostrarte la información, se puede configurar como IDS con ciertas reglas.



Tengo una idea muy vaga y escueta sobre como programar una red neuronal, alguna vez vi algunos videos sobre  como hacerlo y en mi cabeza solo estaba pensando en la vaga idea que eso lo podría realizar mediante grafos (Siendo los nodos las neuronas y las aristas las dendritas), pero realmente nunca lo puse en practica.

Pues la información esta bien para empezar aun que como te comento existen varios protocolos y familias ya todo depende del alcance que quieras tener con tu IDS.

Por poner un ejemplo básico PING
[Paquete IP][Paquete ICMP]

Ejemplo básico HTTP
[Paquete IP][Paquete TCP][Paquete HTTP]

Ejemplo básico HTTPS
[Paquete IP][Paquete TCP][Paquete HTTPS (Cifrado)]

Y asi por no decir IPv4 y IPv6

En general cada paquete es unico


Lo que estas viendo es una vista resumida del paquete por ejemplo para TCP tiene mas datos:




Creo que tiene el modo --verbose donde incluso te muestra la data final en formato hexadecimal...

No, si lo configuras como IDS vas a cargarle la mano mas al procesador. Ya pesado mostrar los paquetes.

Valida la ayuda de snort, debe de tener un parámetro que te muestre el paquete entero en formato hexadecimal. Ahorita no recuerdo cual es la opción y no tengo instalado snort en ninguno de mis equipos.


Detalles de la estructura del paquete TCP
https://www.geeksforgeeks.org/services-and-segment-structure-in-tcp/

Detalles de la estructura del paquete IP
https://www.tutorialspoint.com/ipv4/ipv4_packet_structure.htm

Ambos realmente son un solo paquete. Tienen ciertos valores y/o parámetros que generalmente los hacen únicos (a ambos vistos como uno solo)

Si lo quieres integrar todo en uno solo te recomiendo que en lugar de snort utilizes libpcap, ya que se puede integrar desde C/C++ para leer los paquetes que llegan a la tarjeta de red directamente desde desde el lenguaje y procesar los datos que quieras directo a tus redes neuronales.

Saludos!

estuve viendo este video https://www.youtube.com/watch?v=1lDfCRM6dWk&t=595s, y al final obtiene los datos en hexadecimal, esta bien ?