콧김과 관련된 질문을하고 싶습니다.콧김 분석 - 규칙 비교
다른 snort 규칙 집합이 있는데, 일부는 v2.9.1 (약 3 년 전)에 속하고 일부는 v2.9.5.6에 속합니다.
나는 악의적 인 트래픽도 포함하는 데이터 세트를 가지고 있습니다.
이제 v2.9.1 규칙을 사용하여 snort를 실행하면 내 데이터 집합의 % 17에 대한 경고가 표시됩니다. 반면에 규칙 2.9.5.6에서는 데이터 집합의 0.02 % 만 경고합니다. 이것에 대한 이유는 무엇입니까? 더 나은 결과를 기대했지만 거의 악성 패킷을 탐지 할 수 없었습니다.
누구나 의견이 있으십니까?
미리 감사드립니다.
감사합니다.
이레이
2.9.1에서 2.9.5.6까지 많은 변경 사항이 있습니다. 이 맞춤 규칙은 무엇이며 어떤 사례가 있습니까? 이것은 매우 광범위하며 어떠한 사례도없이 왜 이것이 일어나고 있는지를 설명하는 것이 불가능할 것입니다. 경고하는 규칙의 예제를 제공하고 더 이상 트리거하지 않는 규칙이 좋은 시작일 경우
호스트 속성 테이블을 사용 중인지 여부와 규칙에 "메타 데이터 서비스"키워드가 포함되어 있는지 여부가 중요합니다. 자세한 내용은 snort 설명서 (http://manual.snort.org/node22.html)를 참조하십시오. 2.9.1에서 호스트 속성을 사용하지 않았지만 지금은 제대로 설정되어 있지 않으면이 동작을 볼 수 있습니다. 17 ~ 0.02 %가 상당히 과감한 변화이므로 이것이 가능합니다.
호스트 속성을 사용할 때 snort가 서비스를 식별하면 규칙 헤더의 포트를 무시합니다. 예를 들어, 다음과 같은 규칙 헤더 지정하는 경우 :
드롭의 TCP $의 HOME_NET 어떤 -> $ EXTERNAL_NET 80
이 대상 포트 80과 트래픽을 찾고 당신은 "HTTP 메타 데이터 서비스"를 지정하는 경우 규칙에서 호스트 속성을 사용하면 대상 포트와 상관없이 snort가 서비스를 식별하는 모든 트래픽이이 규칙을 통해 http가 전송됩니다. 이것은 다른 방법으로도 작동합니다 (snort가 스트림에서 서비스를 식별하면 해당 스트림의 패킷을 식별 된 서비스와 일치하는 메타 데이터 서비스 키워드가 포함 된 규칙에만 전송합니다). 즉, 규칙에서 "메타 데이터 서비스 : http"를 사용하지 않고 호스트 속성을 사용하고 snort가 흐름을 http로 식별하면 해당 규칙을 통해 해당 스트림을 보내지 않습니다.
그래서 지금은 snort가 어떻게 구성되어 있고 규칙이 변경되지 않았 으면 사용중인 전처리 기가 변경된 것일 수 있습니다. 이것은 단지 하나의 가능한 설명 일 뿐이며 완전히 다른 것일 수도 있지만이를 결정하기에 충분한 정보를 제공하지 않았습니다.
어떤 아이디어 ??????? –