上期回顾

上期主要介绍了Suricata检测引擎标准化安装，ELK日志平台容器化部署，威胁检测规则集快速启用以及基础告警流水线验证测试，详情可见上期

本期导读

• 规则介绍

• 规则获取与分类

下期预告：编写检测规则和管理规则

规则介绍

Suricata规则是一种基于签名的网络流量检测机制，用于识别恶意活动、漏洞利用或异常行为。每条规则由 **动作（Action）、协议（Protocol）、流量特征（Payload/Metadata和告警信息（Message）**等核心要素构成，其典型结构如下：

alert http $HOME_NET any -> $EXTERNAL_NET any (
    msg:"ET EXPLOIT Suspicious PowerShell Download Pattern";  # 规则描述
    flow:established,to_server;                               # 流量方向及状态
    http.uri;                                                # 检查HTTP URI字段
    content:"/powershell"; nocase;                           # 匹配关键字（不区分大小写）
    content:"DownloadFile"; nocase;                          # 二次内容匹配
    metadata:policy security-ips alert;                      # 策略分类
    reference:url,example.com/analysis/1234;                # 参考链接
    classtype:attempted-admin;                              # 攻击类型分类
    sid:20231234;                                           # 唯一规则ID
    rev:1;                                                  # 规则版本
)

规则关键字段解析：

• 动作（Action）：
  alert（告警）、drop（拦截）、pass（放行）等，决定Suricata对匹配流量的处理方式。

• 协议与流量方向：
  定义协议类型（如http、tcp、dns）及五元组（源/目的IP、端口），例如 $HOME_NET any -> $EXTERNAL_NET any 表示“内网任意端口到外网任意端口的流量”。

• 检测条件：

  • content：匹配数据包中的特定字符串或二进制模式（支持十六进制如|00 1A|）。

  • pcre：使用正则表达式进行复杂模式匹配。

  • flow：指定流量状态（如established表示已建立连接）。

• 元数据与分类：

  • classtype：定义攻击类型（如trojan-activity、phishing）。

  • reference：关联外部威胁情报或分析报告。

更详细的规则关键字介绍见官方文档

规则获取来源与分类

规则获取来源

目前规则的获取来源有如下几个

1. ET Rules规则库，它提供免费和收费的两个版本规则库，免费规则库下载地址。该规则库覆盖应用广，时效性高，维护规则人较多，是suricata的主要规则库。

2. PT Rules规则库，该项目是检测漏洞利用、恶意软件和黑客的TTPS，目前该库已于22年停止更新了。