Snort 规则
Snort 规则 是什么?
Snort 规则采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
Snort 是 Martin Roesch 于 1998 年创建、目前由 Cisco Talos 维护的长期开源入侵检测与防御系统。一条 Snort 规则由报头(动作、协议、源/目的地址与端口、方向)和选项体(content、pcre、flow、sid、rev、classtype、reference)组成,后者用于描述载荷模式与元数据。规则按 community、registered、subscriber 等套件组织,通过 Talos 订阅源分发,可被 Snort 2、Snort 3 以及许多商用 NGFW 和 IDS 产品使用。防御者会编写自定义规则,用于检测特定漏洞利用、恶意软件 C2 与策略违规。
● 示例
- 01
对外发 HTTP 流量中匹配已知 C2 User-Agent 字符串的 Snort 规则告警。
- 02
订阅 Talos 规则集,在 Snort 3 中获得对关键 CVE 的当日覆盖。
● 常见问题
Snort 规则 是什么?
采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。 它属于网络安全的 防御与运营 分类。
Snort 规则 是什么意思?
采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
Snort 规则 是如何工作的?
Snort 是 Martin Roesch 于 1998 年创建、目前由 Cisco Talos 维护的长期开源入侵检测与防御系统。一条 Snort 规则由报头(动作、协议、源/目的地址与端口、方向)和选项体(content、pcre、flow、sid、rev、classtype、reference)组成,后者用于描述载荷模式与元数据。规则按 community、registered、subscriber 等套件组织,通过 Talos 订阅源分发,可被 Snort 2、Snort 3 以及许多商用 NGFW 和 IDS 产品使用。防御者会编写自定义规则,用于检测特定漏洞利用、恶意软件 C2 与策略违规。
如何防御 Snort 规则?
针对 Snort 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
Snort 规则 还有哪些其他名称?
常见的别称包括: Snort 签名, Talos 规则。
● 相关术语
- network-security№ 547
入侵检测系统(IDS)
一种被动的安全控制措施,监控网络或主机活动以发现恶意行为并触发告警,但不主动阻断流量。
- network-security№ 548
入侵防御系统(IPS)
一种串接在数据路径中的安全控制设备,能够实时检测恶意流量并主动丢弃、重置或净化。
- network-security№ 1043
基于特征的检测
通过将观察到的流量、文件或行为与已知恶意模式(特征/签名)数据库进行匹配来识别恶意活动的检测方法。
- defense-ops№ 1117
Suricata
由 Open Information Security Foundation(OISF)维护的高性能开源网络 IDS、IPS 与安全监控引擎。
- network-security№ 295
深度包检测(DPI)
一种不仅检查报头还分析数据包整个负载的检测技术,用于识别应用、内容和威胁。
- network-security№ 724
基于网络的入侵检测系统(NIDS)
通过对从网络段捕获的流量进行检查,识别恶意模式和策略违规的入侵检测传感器。