0
我正在处理一个项目,该项目处理更改规则的顺序,以使IDS过程更快,更高效。 我只需找到在snort警报文件中生成任何警报的规则所在的位置。 (我的意思是规则位于哪条规则文件的哪条线上?) 任何人都可以帮我找出答案吗?在Snort警报文件中指定规则地址
A
回答
0
要在配置文件中找到的规则:
您可以使用Snort规则签名ID。
例如,
[**] [1:5000361:0] need-to-know - suspicious spammed domain [**]
这里的署名ID是5000361。
,或者可以在警报
[Xref => url www.spamhaus.org/query/dbl?domain=xxxxxxx.com]
所示在上述线为referenece在配置文件中进行搜索,所述参考是www.spamhaus.org/query/dbl?domain=xxxxxxx.com
Snort的配置文件使用-c选项指定随后通过配置文件的名称,通常命名为snort.conf。由于它是使用选项指定的,因此它可以位于系统的任何位置。通常可以在/usr/local/etc/snort.conf或安装snort的目录中找到它。
0
这个问题没有任何意义。 “我正在研究一个项目,该项目涉及改变规则的顺序,以使IDS过程更快,更高效。”
这意味着如果你改变snort规则在文件中的顺序,那么它会改变它们被评估的顺序,这是完全错误的。 snort在规则评估方面的工作方式要复杂得多,为了提高效率,您必须使规则更加高效。对于snort,规则中最重要的部分是fast_pattern关键字。即使您没有在规则中指定fast_pattern,snort也会自动选择规则中至少包含3个字符的最长内容匹配,并将其用作fast_pattern。对于每个进入snort的数据包都会为该数据包构建一个规则评估树,这些规则的顺序与它们存储在配置文件中的顺序完全无关。 Snort只会读取配置中的所有规则,并且在运行时收到数据包时会确定它们的评估顺序。
相关问题
- 1. snort警报和snort日志规则操作有什么区别?
- 2. snort | PCRE |规则规范
- 3. 如何在snort规则文件中进行内联评论?
- 4. Snort网站拦截规则
- 5. Snort分析 - 规则比较
- 6. snort的规则的目的
- 7. 当主机同时响应时,Snort规则不会生成警报
- 8. Snort规则正则表达式匹配
- 9. 根据发件人地址中的单词指定Outlook规则条件
- 10. 设置规则/警报在Github上
- 11. 阅读snort的警报日志
- 12. 指定规则
- 13. 如何指定文件系统规则?
- 14. Snort规则检测ZIP文件中的单个JS或VBS文件
- 15. 使用ET规则Snort pcap分析
- 16. .htaccess规则IP地址
- 17. Azure负载均衡警报规则
- 18. Azure警报未触发规则4xx
- 19. 米斯拉C规则12.2 - 误报警?
- 20. 在scrapy中的Linkextractor中指定规则
- 21. 在net.DialTCP中指定本地IP地址
- 22. Snort规则来检测HTTP,HTTPS和电子邮件
- 23. 在指定日期重复报警
- 24. snort错误:错误:/etc/snort/snort.conf(0)无法打开规则文件“/etc/snort/snort.conf”:没有这样的文件或目录
- 25. 使用正则表达式在PowerShell中指定IP地址
- 26. jquery验证插件,指定规则
- 27. 如何永久地忽略SonarQube规则违规中的误报
- 28. Drupal规则一次性登录地址
- 29. 其匹配规则阻止IP地址
- 30. 访问Firebase规则中的电子邮件地址