Entry № 1181
Snort 规则
Snort 规则 是什么?
Snort 规则采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
Snort 是 Martin Roesch 于 1998 年创建、目前由 Cisco Talos 维护的长期开源入侵检测与防御系统。一条 Snort 规则由报头(动作、协议、源/目的地址与端口、方向)和选项体(content、pcre、flow、sid、rev、classtype、reference)组成,后者用于描述载荷模式与元数据。规则按 community、registered、subscriber 等套件组织,通过 Talos 订阅源分发,可被 Snort 2、Snort 3 以及许多商用 NGFW 和 IDS 产品使用。防御者会编写自定义规则,用于检测特定漏洞利用、恶意软件 C2 与策略违规。
● 示例
- 01
对外发 HTTP 流量中匹配已知 C2 User-Agent 字符串的 Snort 规则告警。
- 02
订阅 Talos 规则集,在 Snort 3 中获得对关键 CVE 的当日覆盖。
● 常见问题
Snort 规则 是什么?
采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。 它属于网络安全的 防御与运营 分类。
Snort 规则 是什么意思?
采用 Snort 入侵检测规则语言描述的签名,用于在 IDS 或 IPS 模式下对特定网络流量进行告警或阻断。
如何防御 Snort 规则?
针对 Snort 规则 的防御通常结合技术控制与运营实践,详见上方完整定义。
Snort 规则 还有哪些其他名称?
常见的别称包括: Snort 签名, Talos 规则。