Я работаю над проектом, который занимается изменением порядка правил, чтобы сделать процесс IDS более быстрым и эффективным. Я просто должен найти, где находится правило, генерирующее любое предупреждение в файле предупреждения snort. (Я имею в виду, что правило расположено на какой строке, в каком файле правила?) Может ли кто-нибудь помочь мне узнать?Задание адреса правила в файле предупреждений Snort
Чтобы найти правила в конфигурационном файле:
Вы можете использовать подпись ID правил Snort.
Например,
[**] [1:5000361:0] need-to-know - suspicious spammed domain [**]
здесь подпись идентификатор 5000361.
или, вы можете найти в файле конфигурации для referenece, показанного на чеку
[Xref => url www.spamhaus.org/query/dbl?domain=xxxxxxx.com]
В строке выше, речь идет www.spamhaus.org/query/dbl?domain=xxxxxxx.com
конфигурационный файл Snort задается с помощью опции -c с последующим по имени файла конфигурации, обычно называемого snort.conf. Поскольку он указан с использованием опции, он может быть расположен в любом месте системы. Обычно его можно найти по адресу /usr/local/etc/snort.conf или в каталоге, где установлен snort.
Этот вопрос не имеет никакого смысла. «Я работаю над проектом, который занимается изменением порядка правил, чтобы сделать процесс IDS более быстрым и эффективным».
Это означает, что если вы измените порядок, в котором правила snort находятся в файле, это изменит порядок, в котором они будут оцениваться, и это совершенно неправильно. То, как snort работает с точки зрения оценки правил, намного сложнее, и чтобы быть более эффективным, вы должны сделать свои правила более эффективными. Для фырканья наиболее важной частью правила является ключевое слово fast_pattern. Даже если вы не укажете fast_pattern в правиле, snort автоматически выберет самое длинное совпадение содержимого в правиле, которое составляет не менее 3 символов, и используйте это как fast_pattern. Для каждого пакета, входящего в snort, будет построено дерево оценки правил для этого пакета, и порядок этих правил полностью не связан с порядком их хранения в конфигурационных файлах. Snort будет просто читать все правила в конфигурациях и порядок, который они оценивают, определяется, когда он получает пакет во время выполнения.