Snort调研报告
分类:
本文将从snort的检测范围、snort规则的编写规范、snort相关规则库详细介绍开源入侵检测框架snort。
一、snort的检测范围
1.规则的来源分类
应用检测.规则-该类别包含查找和控制生成网络活动的某些应用程序的流量的规则。此类别将用于控制应用程序行为的各个方面。
黑名单.规则-此类别包含已确定为恶意活动的指标的URI、用户代理、DNS和IP地址规则。这些规则基于来自 Talos 病毒沙盒的活动、恶意 URL 的公开列表和其他数据源。
浏览器漏洞:
浏览器-google.规则-此类别包含对Chrome浏览器中存在的漏洞的检测。(这与"浏览器-webkit"类别是分开的,因为Chrome有足够的漏洞可以分解成自己的漏洞,虽然它使用Webkit渲染引擎,但Chrome还有很多其他功能。
浏览器-火狐.规则-此类别包含对Firefox浏览器中存在的漏洞的检测,或具有"壁虎"引擎的产品。(雷鸟电子邮件客户端等)
浏览器-ie.规则-此类别包含对IE浏览器浏览器中存在的漏洞的检测
浏览器-webkit-这一类包含对Webkit浏览器引擎(除了Chrome)中存在的漏洞的检测,其中包括苹果的Safari、RIM的移动浏览器、诺基亚、KDE、Webkit本身和Palm。
浏览器-其他-此类别包含对未列出的其他浏览器中的漏洞的检测。
浏览器插件-此类别包含处理浏览器插件的浏览器中的漏洞的检测。(示例:活动-x)
已删除–当规则被弃用或替换时,它将被移动到此类别。规则永远不会完全从规则集中删除,它们被移动到此处。
利用(exploit)-这是一个较旧的类别,将很快被弃用。查找软件的通用漏洞。
漏洞利用工具包-此类别包含专门为检测漏洞利用工具包活动而定制的规则。
其余见附件
查看评论
暂无评论