Snort调研报告

本文将从snort的检测范围、snort规则的编写规范、snort相关规则库详细介绍开源入侵检测框架snort。

一、snort的检测范围

1.规则的来源分类

应用检测.规则-该类别包含查找和控制生成网络活动的某些应用程序的流量的规则。此类别将用于控制应用程序行为的各个方面。

黑名单.规则-此类别包含已确定为恶意活动的指标的URI、用户代理、DNS和IP地址规则。这些规则基于来自 Talos 病毒沙盒的活动、恶意 URL 的公开列表和其他数据源。

浏览器漏洞：

浏览器-google.规则-此类别包含对Chrome浏览器中存在的漏洞的检测。（这与"浏览器-webkit"类别是分开的，因为Chrome有足够的漏洞可以分解成自己的漏洞，虽然它使用Webkit渲染引擎，但Chrome还有很多其他功能。

浏览器-火狐.规则-此类别包含对Firefox浏览器中存在的漏洞的检测，或具有"壁虎"引擎的产品。（雷鸟电子邮件客户端等）

浏览器-ie.规则-此类别包含对IE浏览器浏览器中存在的漏洞的检测

浏览器-webkit-这一类包含对Webkit浏览器引擎（除了Chrome）中存在的漏洞的检测，其中包括苹果的Safari、RIM的移动浏览器、诺基亚、KDE、Webkit本身和Palm。

浏览器-其他-此类别包含对未列出的其他浏览器中的漏洞的检测。

浏览器插件-此类别包含处理浏览器插件的浏览器中的漏洞的检测。（示例：活动-x）

已删除–当规则被弃用或替换时，它将被移动到此类别。规则永远不会完全从规则集中删除，它们被移动到此处。

利用(exploit)-这是一个较旧的类别，将很快被弃用。查找软件的通用漏洞。

漏洞利用工具包-此类别包含专门为检测漏洞利用工具包活动而定制的规则。

其余见附件