Cisco Cisco Firepower Management Center 4000 User Guide

36-34

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

字符类

许可证：保护

字符类包括字母字符、数字字符、字母数字字符和空白字符。可以用方括号 （参阅

）创建自己的字符类，也可以使用预定义类作为不同字符类型的快捷方式。如果不与其

他限定符配合使用，一个字符类通常匹配一个数字或字符。

下表举例说明 PCRE 接受的预定义字符类。

PCRE 修饰符选项

许可证：保护

指定 

pcre

 关键字值中的正则表达式语法后，可以使用修饰选项。这些修饰符执行特定于 Perl、

PCRE 和Snort 的处理功能。修饰符始终按以下格式显示在 PCRE 值的末尾：

/pcre/ismxAEGRBUIPHDMCKSY

其中，

ismxAEGRBUPHMC

 可以包括下表中的任何修饰选项。

提示

或者，可以用引号将正则表达式和任何修饰选项引起来，例如，

“/pcre/ismxAEGRBUIPHDMCKSY”

。

这一做法适合习惯使用旧版本的有经验的用户 （旧版本要求必须用引号将正则表达式引起来）。
规则在保存后再显示时，规则编辑器不会显示引号。

下表介绍了可用于执行 Perl 处理功能的选项。

表 

字符类 

字符类

说明

字符类定义

\d

匹配数字字符 （“数字”）。

[0-9]

\D

对应不是数字字符的任何字符。

[^0-9]

\w

匹配字母数字字符 （“单词”）。

[a-zA-Z0-9_]

\W

匹配不是字母数字字符的任何字符。

[^a-zA-Z0-9_]

\s

匹配空白字符，包括空格、回车符、制表符、换行
符和换页符。

[ \r\t\n\f]

\S

匹配不是空白字符的任何字符。

[^ \r\t\n\f]

表 

相关的后正则表达式选项 

选项

说明

i

使正则表达式不区分大小写。

s

点字符 (.) 匹配除换行符和 

\n

 字符以外的所有字符。可使用 

"s"

 选项覆盖此选项，这样，点字符

将匹配所有字符 （包括换行符）。

m

默认情况下，一个字符串被视为单行字符，

^

 和 

$

 分别匹配特定字符串的开头和结尾。如果使用 

"m"

 代替选项，

^

 和 

$

 将匹配紧接在缓冲区内所有换行符之前或之后的内容，以及位于缓冲区开

头或结尾的内容。

x

忽略可能在这一模式中出现的空白数据字符，除非其为转义字符 （前面加有反斜杠）或包含在
字符类中。