例如,为什么我需要scan.rules像 sfportscan 预处理器这样的东西?是不是因为预处理器无法检测到所有活动,所以使用具有众所周知的网络攻击特征的规则检测引擎试图找到匹配?但是也有 preproc 规则,所以我现在有点困惑。所以预处理器使用他们自己的规则,然后有正常的规则,以防这些 preproc 规则都没有找到匹配项?
谢谢你的答案。
问问题
192 次
1 回答
0
预处理器规则用于启用或禁用(或更改)由预处理器触发的事件。请参阅snort 手册。
文件 scan.rules 与 sfportscan 预处理器无关。它是一个容器文件,用于保存检测可能的扫描事件的规则。这为不需要整个规则集的用户简化了规则的排除/包含。
于 2017-11-27T17:30:33.383 回答