Suricata默认规则集的目的与用途

一些规则文件在Emerging Threats官方网站上给出了目的与用途,有一些则并未给出,所以以下文件有一些是官方给出的解释,有一些是个人的推测,可能存在误差。

下面,用==xxxx==标记出来的文件是有官方解释的文件。没有高亮的文件是自己推测的。


官方解释的链接是:http://doc.emergingthreats.net/bin/view/Main/EmergingFAQ#What_is_the_general_intent_of_ea


==botcc.portgrouped.rules botcc.rules==

这些是已知和确认的活动僵尸网络和其C&C(command and control)服务器。由一些组织生成,每日更新。

==ciarmy.rules==

封锁被ciArmy.com标记出来的Top Attackers

==compromised.rules==

这是一个已知的受影响的主机列表,每天更新。

decoder-events.rules

解码器事件,里面包含了对解码器解码所产生的事件,比如包无效、包过大、过小等

dnp3-events.rules

包含对dnp3(分布式网络协议)的一些规则,不多,只有几条

dns-events.rules

包含对dns协议的一些规则,比如dnsflooded事件等,不多,只有几条

==drop.rules==

每天更新的Spamhaus DROP(Don't Route or Peer)列表。列出了著名的、专业的垃圾邮件发送者。

==dshield.rules==

每天更新的DShield top attackers。十分可靠。

emerging-activex.rules

主要用来检测与ActiveX控件有关的攻击

==emerging-attack_response.rules==

这些规则是为了捕获成功攻击的结果,诸如“id=root”之类的东西,或者表示可能发生妥协的错误消息(即虽然产生了错误消息,但是攻击已经成功)。

emerging-chat.rules

主要检测聊天软件、即时通讯软件的攻击,大部分是国外的一些软件,比如facebook,雅虎,msn

==emerging-current_events.rules==

这些规则是不打算在规则集中长期保存的,或者是在被包含之前进行测试。大多数情况下,这些都是针对当天的大量二进制URL的简单sigs,用来捕获CLSID新发现的易受攻击的应用程序,我们没有这些漏洞的任何细节。这些sigs很有用,却不是长期有效的。

emerging-deleted.rules

里面都是被注释掉的规则,可能删除后的规则放在这里

emerging-dns.rules

检测dns协议相关的攻击

==emerging-dos.rules==

目的是捕获入站的DOS(拒绝服务)活动和出站指示。

emerging-ftp.rules

检测ftp协议相关的攻击

==emerging-games.rules==

魔兽世界、星际争霸和其他流行的在线游戏都在这里。我们不打算把这些东西贴上邪恶的标签,只是它们不适合所有的攻击环境,所以将它们放在了这里。

emerging-icmp_info.rules emerging-icmp.rules

检测与icmp协议相关的攻击

==emerging-exploit.rules==

直接检测exploits(漏洞)的规则。如果你在寻找windows的漏洞等,他们会在这里被列出。就像sql注入一样,exploits有着自己的体系。

总之就是用来检测exploits漏洞的。

emerging-imap.rules

检测与imap相关的攻击

==emerging-inappropriate.rules==

色情、儿童色情,你不应该在工作中访问的网站等等。WARNING:这些都大量使用了正则表达式,因此存在高负荷和频繁的误报问题。只有当你真正对这些规则感兴趣时才去运行这些规则。

emerging-info.rules

看了一些规则后,似乎是检测与信息泄露、信息盗取等事件的规则,里面会检测后门、特洛伊木马等与info相关的攻击

==emerging-malware.rules==

我个人最喜欢的。这一套最初只是间谍软件,这就足够了。间谍软件和恶意软件之间的界限已经很模糊了。这里不仅仅是间谍软件,但是请放心,这里没有任何东西是你想在自己的网络或者PC上运行的。已知的更新模式、已知的恶意软件的UserAgent字符串和大量的其它有用的东西。如果你只准备运行一个规则集来保证安全性,这个规则集是首选。

emerging-misc.rules

检测混杂的攻击,这种攻击一般没有确切的分类,或者使用了多种技术

emerging-mobile_malware.rules

检测移动设备上的恶意软件

emerging-netbios.rules

检测与netbios有关的攻击

==emerging-p2p.rules==

P2P(Peer to Peer)之类的。我们并不想将它定义为有害的,只是不适合出现在IPS/IDS的网络环境中。

==emerging-policy.rules==

对于经常被公司或组织政策禁止的事务的规则。Myspace、Ebay之类的东西。

emerging-pop3.rules

检测与pop3协议有关的攻击

emerging-rpc.rules

检测与rpc(远程过程调用协议)有关的攻击

emerging-scada.rules

检测与SCADA(数据采集与监控系统)相关的攻击

==emerging-scan.rules==

检测探测行为。Nessus,Nikto,端口扫描等这样的活动。这是攻击前准备时期的警告。

emerging-shellcode.rules

检测shellcode,shellcode是一段用于利用软件漏洞而执行的代码,以其经常让攻击者获得shell而得名。

emerging-smtp.rules

检测与smtp协议相关的攻击

emerging-snmp.rules

检测与snmp协议相关的攻击

==emerging-sql.rules==

这是一个巨大的规则集,用于捕获在特殊应用程序上的特殊攻击。这里面有一些普遍的SQL注入攻击规则,效果很好,可以捕获大多数攻击。

但是这些规则根据不同的app和不同的web服务器,有很大的差别。如果你需要运行非常严格的web服务或者很重视信息的安全性,请使用这个规则集。

emerging-telnet.rules

检测与telnet协议相关的攻击

emerging-tftp.rules

检测与tftp协议相关的攻击

emerging-trojan.rules

检测trojan木马

emerging-user_agents.rules

检测异常的user-agents

==emerging-voip.rules==

检测voip相关的异常,它是一个新兴的规则集,目前还很小,但是我们预计它很快就会增长。

emerging-web_client.rules

检测web客户端的攻击

emerging-web_server.rules

检测web服务端的攻击

emerging-web_specific_apps.rules

检测特殊的web应用程序的异常

emerging-worm.rules

检测蠕虫

modbus-events.rules

检测modbus事件

smtp-events.rulse

检测smtp事件

stream-events.rules

检测stream事件

tls-events.rules

检测tls事件

==tor.rules==

检测使用tor进行匿名通信的流量,tor本身没有威胁,但却是很可以的行为

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 155,457评论 4 357
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 65,943评论 1 285
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 105,327评论 0 236
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 43,307评论 0 201
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 51,630评论 3 283
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 40,114评论 1 202
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 31,514评论 2 305
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 30,227评论 0 193
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 33,859评论 1 234
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 30,186评论 2 238
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 31,741评论 1 255
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 28,087评论 2 248
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 32,614评论 3 228
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 25,926评论 0 8
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 26,630评论 0 190
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 35,117评论 2 261
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 35,076评论 2 257

推荐阅读更多精彩内容

  • Android 自定义View的各种姿势1 Activity的显示之ViewRootImpl详解 Activity...
    passiontim阅读 170,532评论 25 707
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,076评论 18 139
  • 一直不敢轻谈摄影的概念,因为不能轻易定义,这些眼睛的记忆,如何一次次解读了行者的脚印,诠释生命,让一次次快门闪烁间...
    基督山伯爵小妹阅读 301评论 0 3
  • 坚持每天至少读一篇 十点读书 每天写点随笔 今天和男友闲逛了三个小时 你侬我侬 觉得这样下去对未来不太好 ...
    微凉r阅读 120评论 0 0
  • 文|峰语 我觉得我疯了 别理我 我会咬人 咬你的脖子 我觉得我疯了 别理我 我会吻你 我觉得我疯了 别理我 我会想...
    代峰语阅读 229评论 0 0