Suricata 规则的classtype作用,如何自定义classtype

最新推荐文章于 2025-05-26 16:10:15 发布
最新推荐文章于 2025-05-26 16:10:15 发布
阅读量1.8k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: 企业级IDS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/yrx0619/article/details/84970947
本文详细介绍了Suricata防火墙中规则优先级的概念,包括classtype和priority的使用,以及如何通过classification.conf文件自定义规则优先级,确保网络流量的高效准确过滤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x01

1.classtype

classtype用于对规则进行分类及匹配的优先级进行制定。优先级的作用是suricata在进行规则匹配的时候,如果一条报文同时匹配两条告警,那么优先匹配优先级高的规则。

2.priority

具体每条规则的优先级,如果没有该项,规则会继承他的classtype优先级。

0x02

1.添加新的classtype

可以在classification.conf文件中添加,添加格式为

config classification:短类型名,简短描述,匹配优先级

0x03

参考:

https://blog.youkuaiyun.com/wuyangbotianshi/article/details/44775181

http://blog.51cto.com/13646851/2093345

https://zhuanlan.zhihu.com/p/37173608

https://xiaix.me/suricata-gui-ze-bian-xie-1-gui-ze-de-jie-gou/

suricata匹配从入门到精通(三)----开始编写简单的snort规则
leeezp的博客
08-31 32万+
suricata 兼容 snort规则的大部分语法。今天我来教大家编写一条检测请求的规则。基于suricata 6.0.x 版本。 欢迎关注专栏,会持续更新...
Suricata 规则classtype规则文件分类说明
u011311291的博客
01-09 5675
文件名为:classification.config config classification: not-suspicious,Not Suspicious Traffic,3 #不可疑的流量? config classification: unknown,Unknown Traffic,3 #未知流量 config classification: bad-unknown,Potentially...
suricata
ice_rib的博客
03-26 1238
action决定当规则匹配的时候的行为。
Suricata规则解析
最新发布
qq_36319965的博客
05-26 583
Suricata签名中的括号(…)内的参数包含各种选项和关键字修改器,你可以用它们来匹配数据包的特定部分,对规则进行分类,或记录自定义信息。规则的header参数是针对IP、端口和协议级别的数据包标题,而OPTIONS则是针对数据包中的数据进行匹配。Suricata是一款开源的网络威胁检测引擎,支持IDS(入侵检测系统)、IPS(入侵防御系统)和NSM(网络安全监控)功能。表示从任意IP、任意端口到192.168.1.10的80端口或192.168.1.10的80端口进行的任何流量会进行匹配。
网络入侵检测系统之Suricata(七)--DDOS流量检测模型
hhd1988的专栏
08-19 3357
Suricata支持DDOS流量检测模型 What 分布式拒绝服务(Distributed Denial of Service,简称DDoS)将多台计算机联合起来作为攻击平台,通过远程连接利用恶意程序,对一个或多个目标发起DDoS攻击,消耗目标服务器性能或网络带宽,从而造成服务器无法正常地提供服务。 How 通常,攻击者使用一个非法账号将DDoS主控程序安装在一台计算机上,并在网络上的多台计算机上安装代理程序。在所设定的时间内,主控程序与大量代理程序进行通讯,代理程序收到指令时对目标发动攻击,主
Suricata常用规则和入侵检测案例。
qq_39330735的博客
03-30 6220
1、Suricata是来来源于经典的NIDS系统,是一套基于网络流量的危险检测引擎,整合了IDS(Instrusion detection)、IPS(Instrusion Prevention)、NSM(Network Security Monitoring)和PCAP等功能2、IDS功能通过监听网卡流量并匹配规则引擎进行入侵实时检测和预警,检测手段和wazuh比较类似3、、IPS功能。
Suricata IDS 入门 — 规则详解
SHELLCODE_8BIT的博客
12-21 7296
suricata是一款开源高性能的入侵检测系统,并支持ips(入侵防御)与nsm(网络安全监控)模式,用来替代原有的snort入侵检测系统,完全兼容snort规则语法和支持lua脚本。 安全脉搏SecPulse.Com独家发文,如需转载,请先联系授权。 1.规则配置 配置文件位置:/etc/suricata/suricata.yaml 规则目录位置:/etc/suricata/rules 先设置HOME_NET与EXTERNAL_NET,推荐HOME_NET填写内网网段,EXTERNAL_NET设
suricata 规则 ICMP编写
03-12
规则选项中,`msg`用于描述规则的目的,`sid`是唯一的标识符,`rev`表示修订版本,`classtype`定义警报的分类。此外,可能需要使用`content`来匹配特定的载荷内容,不过ICMP通常不携带大量数据,但某些攻击可能会在...
Suricata规则编写——常用关键字
热门推荐
Traxer的学习之路
03-31 1万+
1.简介现在的NIDS领域snort一枝独秀,而suricata是完全兼容snort规则的多线程IDS,无论在效率还是性能上都超过原有的snort,这个系列主要针对suricata规则中的一些关键字进行了解和学习,参考链接为:https://redmine.openinfosecfoundation.org/projects/suricata/wiki/Suricata_Rules2.基本关键字所
shell命令执行攻击的suricata规则
05-20
下面是一个检测 shell 命令执行攻击的 Suricata 规则示例: ``` alert tcp any any -> any any (msg:"Shell command execution attempt"; flow:to_server,established; content:"|3A 20|"; nocase; content:"|0D 0A...
写一个HTTP协议文件上传漏洞的suricata规则
04-04
flow:to_server,established; file_data; content:"Content-Disposition|3a| form-data|3b| name=|22|file|22|"; nocase; content:"filename=|22|";... classtype:attempted-user; sid:1000001; rev:1;)
Gonids: 解析IDS规则的库,支持Suricata和Snort
- **其他选项**: 包括消息内容 (`msg`), 类别类型 (`classtype`), 规则ID (`sid`), 规则版本 (`rev`), 等等。 #### Go语言在安全领域的应用 gonids的出现体现了Go语言在安全工具开发中的潜力。Go语言以其并发性能、...
snort v.s. suricata规则对比
10-25
入侵检测snort、suricata 规则语法对比,枚举出支持的keyword
一款攻击检测工具suricata
ranuy阮的博客
03-06 2373
0x01 suricata介绍 Suricata是一个高性能的IDS、IPS和网络安全监控的引擎。它是开源的,由一个社区经营的非营利基金会开放信息安全基金会(OISF)开发。 https://www.osgeo.cn/suricata/what-is-suricata.html 0x02 suricata语法 规则语法由规则头部和规则选项组成 alert tcp $EXTERNAL_NET ...
suricata规则
whatday的专栏
12-20 8796
Emerging威胁检测规则wiki:http://doc.emergingthreats.net/bin/view/Main/WebHome Emerging规则文件:http://rules.emergingthreatspro.com/   基本语法 Snort规则Suricata规则基本语法相同 规则结构 一、规则头部: 1. 规则行为:行为声明,用于通知IDS引擎...
Suricata默认规则集相关
weixin_30338481的博客
03-29 1270
Suricata规则Suricata基于规则检测和控制数据流量,所有规则的配置文件保存在rules目录内 1、这些是已知和确认的活动僵尸网络和其C&C(command and control)服务器。由一些组织生成,每日更新 botcc.portgrouped.rules botcc.rules 2、封锁被ciArmy.com标记出来的Top Attacke...
suricata规则分类存储
leijinya的专栏
05-20 1598
现在有这样一个需求,将suricata的全部规则按照classtype分类,每个级别的规则放到一个文件中。 suricata规则分类文件内容类似如下格式: 具体规则文件的内容格式如下:
Suricata 新建规则
sinat_41915699的博客
04-20 1471
suiricata本身就支持很多规则,但是我们也可以自定义规则。根据官方文档,主要分为以下几个步骤。 1 新建local.rules规则文件 位置可以与suricata.yaml一致,也可以放到其他地方。最简单的规则如下 alert tcp any any -> any any (msg: "mytest"; sid:20210420;) 如果要建复杂规则,那么需要根据文档自己编写,支持协议的头内容分析,也支持协议携带的数据进行分析(content关键字)。 注意:每个规则的sid都是不一样的。 2
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值