上期回顾
上期主要介绍了Suricata检测引擎标准化安装,ELK日志平台容器化部署,威胁检测规则集快速启用以及基础告警流水线验证测试,详情可见上期
本期导读
-
规则介绍
-
规则获取与分类
下期预告:编写检测规则和管理规则
规则介绍
Suricata规则是一种基于签名的网络流量检测机制,用于识别恶意活动、漏洞利用或异常行为。每条规则由 **动作(Action)、协议(Protocol)、流量特征(Payload/Metadata和告警信息(Message)**等核心要素构成,其典型结构如下:
alert http $HOME_NET any -> $EXTERNAL_NET any (
msg:"ET EXPLOIT Suspicious PowerShell Download Pattern"; # 规则描述
flow:established,to_server; # 流量方向及状态
http.uri; # 检查HTTP URI字段
content:"/powershell"; nocase; # 匹配关键字(不区分大小写)
content:"DownloadFile"; nocase; # 二次内容匹配
metadata:policy security-ips alert; # 策略分类
reference:url,example.com/analysis/1234; # 参考链接
classtype:attempted-admin; # 攻击类型分类
sid:20231234; # 唯一规则ID
rev:1; # 规则版本
)
规则关键字段解析:
-
动作(Action):
alert(告警)、drop(拦截)、pass(放行)等,决定Suricata对匹配流量的处理方式。 -
协议与流量方向:
定义协议类型(如http、tcp、dns)及五元组(源/目的IP、端口),例如 $HOME_NET any -> $EXTERNAL_NET any 表示“内网任意端口到外网任意端口的流量”。 -
检测条件:
-
content:匹配数据包中的特定字符串或二进制模式(支持十六进制如|00 1A|)。
-
pcre:使用正则表达式进行复杂模式匹配。
-
flow:指定流量状态(如established表示已建立连接)。
-
-
元数据与分类:
-
classtype:定义攻击类型(如trojan-activity、phishing)。
-
reference:关联外部威胁情报或分析报告。
-
更详细的规则关键字介绍见官方文档
规则获取来源与分类
规则获取来源
目前规则的获取来源有如下几个
-
ET Rules规则库,它提供免费和收费的两个版本规则库,免费规则库下载地址。该规则库覆盖应用广,时效性高,维护规则人较多,是suricata的主要规则库。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)
