HIDS 系统内部入侵检测系统

基于主机的入侵检测系统(HIDS)

通过监视端点主机内部发生的活动来工作

应用程序(例如杀毒软件、间谍软件检测软件、防火墙)通常安装在网络内所有联网的计算机上,或安装在服务器等重要系统的子集上。

优点

精确的每一台主机状况

细粒的每一个风险通讯

缺点

每一台需要安装客户端

尽可能的全自动化安装

解决方案

网络:精确而细粒的每次传出

分析:实时而知晓的每次传入

系统级、应用级、数据级

系统、应用:文件、进程、连接、文件量

数据级:文件、网络

定化制

进程、端口、对内对外

特征:设备码、数据流

规则说明
模板ID 类型 规则集 简述 标记 备注 时间
100 应用类 app-detect.rules 此类别包含查找和控制生成网络活动的某些应用程序的流量的规则。 此类别将用于控制应用程序行为方式的各个方面。 N/A N/A 2022年7月23日
200 应用类 blacklist.rules 此类别包含已确定为恶意活动指标的 URI、USER-AGENT、DNS 和 IP 地址规则。 这些规则基于来自 Talos 病毒沙箱的活动、恶意 URL 的公共列表和其他数据源。 N/A N/A 2022年7月23日
900 应用类 content-replace 此类别包含任何利用 Snort 内部"替换"功能的规则。 N/A N/A 2022年7月23日
1000 应用类 deleted 当规则已被弃用或替换时,它会移至此类别。 规则永远不会从规则集中完全删除,它们被移到这里。 N/A N/A 2022年7月23日
1100 应用类 exploit 这是一个较旧的类别,很快就会被弃用。 此类别以通用形式查找针对软件的漏洞利用。 N/A N/A 2022年7月23日
1200 应用类 exploit-kit 此类别包含专门用于检测漏洞利用工具包活动的规则。 这不包括"妥协后"规则(因为那些将在 indicator-compromise中)。 由于访问漏洞利用工具包而丢弃的文件将位于其各自的 文件类别中。 N/A N/A 2022年7月23日
2200 应用类 indicator-compromise 此类别包含的规则显然仅用于检测积极受损的系统,可能会出现误报。 N/A N/A 2022年7月23日
2300 应用类 指标混淆 indicator-obfuscation 此类别包含明确仅用于检测混淆内容的规则。 就像编码的 JavaScript 规则一样。 N/A N/A 2022年7月23日
2400 应用类 indicator-shellcode 此类别包含的规则只是在流量中寻找 shellcode 的简单识别标记。 这取代了旧的" shellcode.rules"。 N/A N/A 2022年7月23日
2500 应用类 指示器-i indicator-i 此类别包含仅在网络流量中寻找扫描指示的规则。 这取代了旧的" scan.rules"。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
300 浏览器 browser-chrome.rules 此类别包含对 Chrome 浏览器中存在的漏洞的检测。(这与"browser-webkit类别是分开的 ,因为 Chrome 有足够的漏洞可以分解成它自己的,虽然它使用 Webkit 渲染引擎,但 Chrome 还有很多其他功能。) N/A N/A 2022年7月23日
400 浏览器 browser-firefox.rules 此类别包含对 Firefox 浏览器或具有"Gecko"引擎的产品中存在的漏洞的检测。(雷鸟电子邮件客户端等) N/A N/A 2022年7月23日
500 浏览器 browser-ie.rules 此类别包含对 Internet Explorer 浏览器(Trident 或 Tasman 引擎)中存在的漏洞的检测 N/A N/A 2022年7月23日
600 浏览器 browser-webkit 此类别包含对 Webkit 浏览器引擎(Chrome 除外)中存在的漏洞的检测,包括 Apple 的 Safari、RIM 的移动浏览器、诺基亚、KDE、Webkit 本身和 Palm。 N/A N/A 2022年7月23日
700 浏览器 browser-other 此类别包含对上面未列出的其他浏览器中的漏洞的检测。 N/A N/A 2022年7月23日
800 浏览器 browser-plugins 此类别包含对浏览器中处理浏览器插件的漏洞的检测。(例如:Active-x) N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
1300 文件类 file-executable 此类别包含针对通过可执行文件发现或传递的漏洞的规则,无论平台如何。 N/A N/A 2022年7月23日
1400 文件类 文件闪存 file-flash 此类别包含针对通过闪存文件发现或传递的漏洞的规则。 压缩或未压缩,无论被攻击的交付方式平台如何。 N/A N/A 2022年7月23日
1500 文件类 文件图像 file-image 此类别包含在图像文件中发现的漏洞的规则。 无论交付方法、被攻击的软件或图像类型如何。(示例包括:jpg、png、gif、bmp 等) N/A N/A 2022年7月23日
1600 文件类 file-identify 此类别是通过文件扩展名、文件中的内容(文件魔术)或流量中找到的标头来识别文件。 此信息通常用于然后设置要在不同规则中使用的流位。 N/A N/A 2022年7月23日
1700 文件类 file-java 此类别包含 Java 文件(.jar)中存在的漏洞规则 N/A N/A 2022年7月23日
1800 文件类 文件多媒体 file-multimedia 此类别包含多媒体文件(mp3、电影、wmv)内部存在的漏洞规则 N/A N/A 2022年7月23日
1900 文件类 文件办公室 file-office 此类别包含属于 Microsoft Office 软件套件的文件中存在的漏洞规则。(Excel、PowerPoint、Word、Visio、Access、Outlook 等) N/A N/A 2022年7月23日
2000 文件类 file-pdf 此类别包含针对 PDF 文件内部发现的漏洞的规则。 无论创建方法、交付方法或 PDF 影响的软件(例如,Adobe Reader 和 FoxIt Reader) N/A N/A 2022年7月23日
2100 文件类 file-other 此类别包含文件中存在的漏洞规则,不属于上述其他类别。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
2600 恶意类 恶意软件后门 malware-backdoor 此类别包含用于检测流向已知侦听后门命令通道的流量的规则。 如果一个恶意软件打开一个端口并等待其控制功能的传入命令,这种类型的检测将在这里。 一个简单的示例是检测 BackOrifice,因为它侦听特定端口,然后执行发送的命令。 N/A N/A 2022年7月23日
2700 恶意类 恶意软件cnc malware-cnc 此类别包含已知的恶意命令和控制活动,用于识别的僵尸网络流量。 这包括回拨、下载丢弃的文件和过滤数据。 从"Master to Zombie"类型的东西发出的实际命令也将在这里。 N/A N/A 2022年7月23日
2800 恶意类 恶意软件工具 malware-tools 此类别包含处理可被视为恶意工具的规则。 例如,LOIC。 N/A N/A 2022年7月23日
2900 恶意类 其他恶意软件 malware-other 此类别包含与恶意软件相关但不属于其他"恶意软件 "类别之一的规则。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
3000 系统类 os-linux 此类别包含在基于 Linux 的操作系统中寻找漏洞的规则。 不适用于浏览器或上面的任何其他软件,而只是针对操作系统本身。 N/A N/A 2022年7月23日
3100 系统类 os-solaris 此类别包含在基于 Solaris 的操作系统中寻找漏洞的规则。 不适用于操作系统之上的任何浏览器或任何其他软件。 N/A N/A 2022年7月23日
3200 系统类 os-windows 此类别包含在基于 Windows 的操作系统中寻找漏洞的规则。 不适用于操作系统之上的任何浏览器或任何其他软件。 N/A N/A 2022年7月23日
3300 系统类 os-mobile 此类别包含在基于移动的操作系统中寻找漏洞的规则。 不适用于操作系统顶部的任何浏览器或任何其他软件。 N/A N/A 2022年7月23日
3400 系统类 os-other 此类别包含正在查找上面未列出的操作系统中的漏洞的规则。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
3500 多媒体 策略多媒体 policy-multimedia 此类别包含检测潜在违反多媒体策略的规则。 例如检测网络上 iTunes 的使用情况。 这不适用于在多媒体文件中发现的漏洞,就像在 file-multimedia中那样。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
4000 协议类 协议-social 此类别包含用于检测潜在违反公司网络政策以使用社交媒体的规则。(p2p、聊天等) N/A N/A 2022年7月23日
4200 协议类 协议-spam 此类别适用于可能指示网络上存在垃圾邮件的规则。 N/A N/A 2022年7月23日
4300 协议类 协议-other 此类别适用于可能违反最终用户公司政策的规则,不属于任何其他 政策类别。 N/A N/A 2022年7月23日
4400 协议类 协议-dns 此类别适用于可能指示存在 dns 协议或网络上 dns 协议中的漏洞的规则。 N/A N/A 2022年7月23日
4500 协议类 协议-finger 此类别适用于可能指示网络上存在手指协议或手指协议漏洞的规则。 N/A N/A 2022年7月23日
4600 协议类 协议-ftp 此类别适用于可能指示存在 ftp 协议或网络上 ftp 协议中的漏洞的规则。 N/A N/A 2022年7月23日
4700 协议类 协议-icmp 此类别适用于可能指示网络上存在 icmp 流量或 icmp 漏洞的规则。 N/A N/A 2022年7月23日
4800 协议类 协议-imap 此类别用于可能指示 imap 协议的存在或网络上 imap 协议中的漏洞的规则。 N/A N/A 2022年7月23日
4900 协议类 协议-nntp 此类别适用于可能指示网络上存在 nntp 协议或 nntp 协议中的漏洞的规则。 N/A N/A 2022年7月23日
5000 协议类 协议-pop 此类别适用于可能指示存在 pop 协议或网络上 pop 协议中的漏洞的规则。 N/A N/A 2022年7月23日
5100 协议类 协议-rpc 此类别适用于可能指示存在 rpc 协议或网络上 rpc 协议中的漏洞的规则。 N/A N/A 2022年7月23日
5200 协议类 协议-scada 此类别适用于可能指示存在 scada 协议或网络上 scada 协议中的漏洞的规则。 N/A N/A 2022年7月23日
5400 协议类 协议服务 此类别适用于可能指示存在 rservices 协议或网络上 rservices 协议中的漏洞的规则。 N/A N/A 2022年7月23日
6000 协议类 协议-snmp 此类别适用于可能指示网络上存在 snmp 协议或 snmp 协议中的漏洞的规则。 N/A N/A 2022年7月23日
7000 协议类 协议-telnet 此类别适用于可能指示存在 telnet 协议或网络上 telnet 协议中存在漏洞的规则。 N/A N/A 2022年7月23日
7100 协议类 协议-tftp 此类别适用于可能指示网络上存在 tftp 协议或 tftp 协议中的漏洞的规则。 N/A N/A 2022年7月23日
7200 协议类 协议-voip 此类别适用于可能指示网络上 voip 协议中存在 voip 服务或漏洞的规则。 N/A N/A 2022年7月23日
8000 协议类 协议-其他 此类别适用于正在寻找协议或协议中的漏洞的规则,但不适合其他"协议"规则文件之一。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
10000 间谍类 pua-adware 此类别处理"pua"或 处理广告软件或间谍软件的 潜在不需要的应用程序。 N/A N/A 2022年7月23日
10100 间谍类 pua-p2p 此类别处理"pua"或 处理 p2p 的 潜在不需要的应用程序。 N/A N/A 2022年7月23日
10400 间谍类 pua-toolbars 此类别处理"pua"或 可能不需要的应用程序,这些应用程序处理安装在客户端系统上的工具栏。(Google 工具栏、Yahoo 工具栏、Hotbar 等) N/A N/A 2022年7月23日
10600 间谍类 pua-other 此类别处理 不属于上述类别之一的"pua"或 可能不需要的应用程序。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
12100 服务类 server-apache 此类别处理 Apache Web 服务器的漏洞或攻击。 N/A N/A 2022年7月23日
12200 服务类 server-iis 此类别处理 Microsoft IIS Web 服务器中的漏洞或攻击。 N/A N/A 2022年7月23日
13100 服务类 server-samba 此类别处理 Samba 服务器中的漏洞或攻击。 N/A N/A 2022年7月23日
13200 服务类 server-webapp 此类别处理服务器上基于 Web 的应用程序的漏洞或攻击。 N/A N/A 2022年7月23日
16000 服务类 server-other 此类别包含检测以上列表中未详细说明的服务器中的漏洞或攻击的规则。 N/A N/A 2022年7月23日
18200 服务类 x11 此类别包含检测 x11 使用或存在针对 x11 类服务器的其他漏洞的规则。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
12600 数据库 server-mssql 此类别处理 Microsoft SQL Server 中的漏洞或攻击。 N/A N/A 2022年7月23日
12800 数据库 server-mysql 此类别处理 Oracle MySQL 服务器的漏洞或攻击。 N/A N/A 2022年7月23日
13000 数据库 server-oracle 此类别处理 Oracle 的 Oracle 数据库服务器中的漏洞或攻击。 N/A N/A 2022年7月23日
18000 数据库 sql 此类别包含检测 sql 注入或其他针对 sql 类服务器的漏洞的规则。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
14000 邮件类 server-mail 此类别包含检测邮件服务器漏洞的规则。(交换,快递)。 这些与协议类别是分开的 ,因为它们处理流向邮件服务器本身的流量。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
18200 客制类 未公未测 此类别包含检测 客制或定制 的规则。 N/A N/A 2022年7月23日
模板ID 类型 规则集 简述 标记 备注 时间
18200 特殊类 未公未测 此类别包含检测 定制与特殊类 的规则。 N/A N/A 2022年7月23日