通过检测一个网络段上的所有流量来检测恶意活动
通过镜像流量端口的传递给NIDS分析
1、无需安装客户端
2、灵活的旁路接入模式
1、无法判断客户端加密数据
2、无法判断客户端详细信息
网络:大规模、多分级、多部门
分析:实时而细粒的分析而统一监管
广度、维度:特征库
深度:日志流、数据流
协议数据封包
会话严格管控
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 100 | 应用类 | app-detect.rules | 此类别包含查找和控制生成网络活动的某些应用程序的流量的规则。 此类别将用于控制应用程序行为方式的各个方面。 | N/A | N/A | 2022年7月23日 |
| 200 | 应用类 | blacklist.rules | 此类别包含已确定为恶意活动指标的 URI、USER-AGENT、DNS 和 IP 地址规则。 这些规则基于来自 Talos 病毒沙箱的活动、恶意 URL 的公共列表和其他数据源。 | N/A | N/A | 2022年7月23日 |
| 900 | 应用类 | content-replace | 此类别包含任何利用 Snort 内部"替换"功能的规则。 | N/A | N/A | 2022年7月23日 |
| 1000 | 应用类 | deleted | 当规则已被弃用或替换时,它会移至此类别。 规则永远不会从规则集中完全删除,它们被移到这里。 | N/A | N/A | 2022年7月23日 |
| 1100 | 应用类 | exploit | 这是一个较旧的类别,很快就会被弃用。 此类别以通用形式查找针对软件的漏洞利用。 | N/A | N/A | 2022年7月23日 |
| 1200 | 应用类 | exploit-kit | 此类别包含专门用于检测漏洞利用工具包活动的规则。 这不包括"妥协后"规则(因为那些将在 indicator-compromise中)。 由于访问漏洞利用工具包而丢弃的文件将位于其各自的 文件类别中。 | N/A | N/A | 2022年7月23日 |
| 2200 | 应用类 | indicator-compromise | 此类别包含的规则显然仅用于检测积极受损的系统,可能会出现误报。 | N/A | N/A | 2022年7月23日 |
| 2300 | 应用类 | 指标混淆 indicator-obfuscation | 此类别包含明确仅用于检测混淆内容的规则。 就像编码的 JavaScript 规则一样。 | N/A | N/A | 2022年7月23日 |
| 2400 | 应用类 | indicator-shellcode | 此类别包含的规则只是在流量中寻找 shellcode 的简单识别标记。 这取代了旧的" shellcode.rules"。 | N/A | N/A | 2022年7月23日 |
| 2500 | 应用类 | 指示器-i indicator-i | 此类别包含仅在网络流量中寻找扫描指示的规则。 这取代了旧的" scan.rules"。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 300 | 浏览器 | browser-chrome.rules | 此类别包含对 Chrome 浏览器中存在的漏洞的检测。(这与"browser-webkit类别是分开的 ,因为 Chrome 有足够的漏洞可以分解成它自己的,虽然它使用 Webkit 渲染引擎,但 Chrome 还有很多其他功能。) | N/A | N/A | 2022年7月23日 |
| 400 | 浏览器 | browser-firefox.rules | 此类别包含对 Firefox 浏览器或具有"Gecko"引擎的产品中存在的漏洞的检测。(雷鸟电子邮件客户端等) | N/A | N/A | 2022年7月23日 |
| 500 | 浏览器 | browser-ie.rules | 此类别包含对 Internet Explorer 浏览器(Trident 或 Tasman 引擎)中存在的漏洞的检测 | N/A | N/A | 2022年7月23日 |
| 600 | 浏览器 | browser-webkit | 此类别包含对 Webkit 浏览器引擎(Chrome 除外)中存在的漏洞的检测,包括 Apple 的 Safari、RIM 的移动浏览器、诺基亚、KDE、Webkit 本身和 Palm。 | N/A | N/A | 2022年7月23日 |
| 700 | 浏览器 | browser-other | 此类别包含对上面未列出的其他浏览器中的漏洞的检测。 | N/A | N/A | 2022年7月23日 |
| 800 | 浏览器 | browser-plugins | 此类别包含对浏览器中处理浏览器插件的漏洞的检测。(例如:Active-x) | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 1300 | 文件类 | file-executable | 此类别包含针对通过可执行文件发现或传递的漏洞的规则,无论平台如何。 | N/A | N/A | 2022年7月23日 |
| 1400 | 文件类 | 文件闪存 file-flash | 此类别包含针对通过闪存文件发现或传递的漏洞的规则。 压缩或未压缩,无论被攻击的交付方式平台如何。 | N/A | N/A | 2022年7月23日 |
| 1500 | 文件类 | 文件图像 file-image | 此类别包含在图像文件中发现的漏洞的规则。 无论交付方法、被攻击的软件或图像类型如何。(示例包括:jpg、png、gif、bmp 等) | N/A | N/A | 2022年7月23日 |
| 1600 | 文件类 | file-identify | 此类别是通过文件扩展名、文件中的内容(文件魔术)或流量中找到的标头来识别文件。 此信息通常用于然后设置要在不同规则中使用的流位。 | N/A | N/A | 2022年7月23日 |
| 1700 | 文件类 | file-java | 此类别包含 Java 文件(.jar)中存在的漏洞规则 | N/A | N/A | 2022年7月23日 |
| 1800 | 文件类 | 文件多媒体 file-multimedia | 此类别包含多媒体文件(mp3、电影、wmv)内部存在的漏洞规则 | N/A | N/A | 2022年7月23日 |
| 1900 | 文件类 | 文件办公室 file-office | 此类别包含属于 Microsoft Office 软件套件的文件中存在的漏洞规则。(Excel、PowerPoint、Word、Visio、Access、Outlook 等) | N/A | N/A | 2022年7月23日 |
| 2000 | 文件类 | file-pdf | 此类别包含针对 PDF 文件内部发现的漏洞的规则。 无论创建方法、交付方法或 PDF 影响的软件(例如,Adobe Reader 和 FoxIt Reader) | N/A | N/A | 2022年7月23日 |
| 2100 | 文件类 | file-other | 此类别包含文件中存在的漏洞规则,不属于上述其他类别。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 2600 | 恶意类 | 恶意软件后门 malware-backdoor | 此类别包含用于检测流向已知侦听后门命令通道的流量的规则。 如果一个恶意软件打开一个端口并等待其控制功能的传入命令,这种类型的检测将在这里。 一个简单的示例是检测 BackOrifice,因为它侦听特定端口,然后执行发送的命令。 | N/A | N/A | 2022年7月23日 |
| 2700 | 恶意类 | 恶意软件cnc malware-cnc | 此类别包含已知的恶意命令和控制活动,用于识别的僵尸网络流量。 这包括回拨、下载丢弃的文件和过滤数据。 从"Master to Zombie"类型的东西发出的实际命令也将在这里。 | N/A | N/A | 2022年7月23日 |
| 2800 | 恶意类 | 恶意软件工具 malware-tools | 此类别包含处理可被视为恶意工具的规则。 例如,LOIC。 | N/A | N/A | 2022年7月23日 |
| 2900 | 恶意类 | 其他恶意软件 malware-other | 此类别包含与恶意软件相关但不属于其他"恶意软件 "类别之一的规则。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 3000 | 系统类 | os-linux | 此类别包含在基于 Linux 的操作系统中寻找漏洞的规则。 不适用于浏览器或上面的任何其他软件,而只是针对操作系统本身。 | N/A | N/A | 2022年7月23日 |
| 3100 | 系统类 | os-solaris | 此类别包含在基于 Solaris 的操作系统中寻找漏洞的规则。 不适用于操作系统之上的任何浏览器或任何其他软件。 | N/A | N/A | 2022年7月23日 |
| 3200 | 系统类 | os-windows | 此类别包含在基于 Windows 的操作系统中寻找漏洞的规则。 不适用于操作系统之上的任何浏览器或任何其他软件。 | N/A | N/A | 2022年7月23日 |
| 3300 | 系统类 | os-mobile | 此类别包含在基于移动的操作系统中寻找漏洞的规则。 不适用于操作系统顶部的任何浏览器或任何其他软件。 | N/A | N/A | 2022年7月23日 |
| 3400 | 系统类 | os-other | 此类别包含正在查找上面未列出的操作系统中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 3500 | 多媒体 | 策略多媒体 policy-multimedia | 此类别包含检测潜在违反多媒体策略的规则。 例如检测网络上 iTunes 的使用情况。 这不适用于在多媒体文件中发现的漏洞,就像在 file-multimedia中那样。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 4000 | 协议类 | 协议-social | 此类别包含用于检测潜在违反公司网络政策以使用社交媒体的规则。(p2p、聊天等) | N/A | N/A | 2022年7月23日 |
| 4200 | 协议类 | 协议-spam | 此类别适用于可能指示网络上存在垃圾邮件的规则。 | N/A | N/A | 2022年7月23日 |
| 4300 | 协议类 | 协议-other | 此类别适用于可能违反最终用户公司政策的规则,不属于任何其他 政策类别。 | N/A | N/A | 2022年7月23日 |
| 4400 | 协议类 | 协议-dns | 此类别适用于可能指示存在 dns 协议或网络上 dns 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 4500 | 协议类 | 协议-finger | 此类别适用于可能指示网络上存在手指协议或手指协议漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 4600 | 协议类 | 协议-ftp | 此类别适用于可能指示存在 ftp 协议或网络上 ftp 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 4700 | 协议类 | 协议-icmp | 此类别适用于可能指示网络上存在 icmp 流量或 icmp 漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 4800 | 协议类 | 协议-imap | 此类别用于可能指示 imap 协议的存在或网络上 imap 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 4900 | 协议类 | 协议-nntp | 此类别适用于可能指示网络上存在 nntp 协议或 nntp 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 5000 | 协议类 | 协议-pop | 此类别适用于可能指示存在 pop 协议或网络上 pop 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 5100 | 协议类 | 协议-rpc | 此类别适用于可能指示存在 rpc 协议或网络上 rpc 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 5200 | 协议类 | 协议-scada | 此类别适用于可能指示存在 scada 协议或网络上 scada 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 5400 | 协议类 | 协议服务 | 此类别适用于可能指示存在 rservices 协议或网络上 rservices 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 6000 | 协议类 | 协议-snmp | 此类别适用于可能指示网络上存在 snmp 协议或 snmp 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 7000 | 协议类 | 协议-telnet | 此类别适用于可能指示存在 telnet 协议或网络上 telnet 协议中存在漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 7100 | 协议类 | 协议-tftp | 此类别适用于可能指示网络上存在 tftp 协议或 tftp 协议中的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 7200 | 协议类 | 协议-voip | 此类别适用于可能指示网络上 voip 协议中存在 voip 服务或漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 8000 | 协议类 | 协议-其他 | 此类别适用于正在寻找协议或协议中的漏洞的规则,但不适合其他"协议"规则文件之一。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 10000 | 间谍类 | pua-adware | 此类别处理"pua"或 处理广告软件或间谍软件的 潜在不需要的应用程序。 | N/A | N/A | 2022年7月23日 |
| 10100 | 间谍类 | pua-p2p | 此类别处理"pua"或 处理 p2p 的 潜在不需要的应用程序。 | N/A | N/A | 2022年7月23日 |
| 10400 | 间谍类 | pua-toolbars | 此类别处理"pua"或 可能不需要的应用程序,这些应用程序处理安装在客户端系统上的工具栏。(Google 工具栏、Yahoo 工具栏、Hotbar 等) | N/A | N/A | 2022年7月23日 |
| 10600 | 间谍类 | pua-other | 此类别处理 不属于上述类别之一的"pua"或 可能不需要的应用程序。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 12100 | 服务类 | server-apache | 此类别处理 Apache Web 服务器的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 12200 | 服务类 | server-iis | 此类别处理 Microsoft IIS Web 服务器中的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 13100 | 服务类 | server-samba | 此类别处理 Samba 服务器中的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 13200 | 服务类 | server-webapp | 此类别处理服务器上基于 Web 的应用程序的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 16000 | 服务类 | server-other | 此类别包含检测以上列表中未详细说明的服务器中的漏洞或攻击的规则。 | N/A | N/A | 2022年7月23日 |
| 18200 | 服务类 | x11 | 此类别包含检测 x11 使用或存在针对 x11 类服务器的其他漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 12600 | 数据库 | server-mssql | 此类别处理 Microsoft SQL Server 中的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 12800 | 数据库 | server-mysql | 此类别处理 Oracle MySQL 服务器的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 13000 | 数据库 | server-oracle | 此类别处理 Oracle 的 Oracle 数据库服务器中的漏洞或攻击。 | N/A | N/A | 2022年7月23日 |
| 18000 | 数据库 | sql | 此类别包含检测 sql 注入或其他针对 sql 类服务器的漏洞的规则。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 14000 | 邮件类 | server-mail | 此类别包含检测邮件服务器漏洞的规则。(交换,快递)。 这些与协议类别是分开的 ,因为它们处理流向邮件服务器本身的流量。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 18200 | 客制类 | 未公未测 | 此类别包含检测 客制或定制 的规则。 | N/A | N/A | 2022年7月23日 |
| 模板ID | 类型 | 规则集 | 简述 | 标记 | 备注 | 时间 |
|---|---|---|---|---|---|---|
| 18200 | 特殊类 | 未公未测 | 此类别包含检测 定制与特殊类 的规则。 | N/A | N/A | 2022年7月23日 |
小松鼠
