Cisco Cisco Firepower Management Center 4000 User Guide

36-86

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

下图说明了上述规则分片中 

flowbits

 关键字的影响：

在第三个规则分片中，

flowbits:isset,http.jpeg

 确定是否已设置现在不相关的 

http.jpeg

 状态，

content

 和 

pcre

 则匹配在 JPEG 文件中是恶意的但在 GIF 文件中并非恶意的内容。第三个规则分

片会针对 JPEG 文件中不存在漏洞生成误报事件。

防止误报的 flowbits 示例

以下示例说明在一个组中包含多个状态名称并使用 

setx

 运算符如何能防止误报。

以下规则分片与上一个规则分片示例大致相同，不同之处是，以下示例的前两个规则将两个不同
的状态名称包含在同一个状态组中。

(msg:"JPEG transfer"; content:"image/";pcre:"/^Content-

 

Type\x3a(\s*|\s*\r?\n\s+)image\x2fp?jpe?g/smi";

 

flowbits:setx,http.jpeg,image_downloads; flowbits:noalert;)

下图说明了上述规则分片中 

flowbits

 关键字的影响：

如果第一个规则分片检测到 JPEG 文件下载，

flowbits:setx,http.jpeg,image_downloads

 关键字

会将 

flowbits

 状态设置为 

http.jpeg

，并将该状态包含在 

image_downloads

 组中。

然后，下一个规则会后续 GIF 文件下载：

(msg:"GIF transfer"; content:"image/"; pcre:"/^Content-

 

Type\x3a(\s*|\s*\r?\n\s+)image\x2fgif/smi";

 

flowbits:setx,http.tif,image_downloads; flowbits:noalert;)

下图说明了上述规则分片中 

flowbits

 关键字的影响：

当第二个规则分片与 GIF 下载相匹配时，

flowbits:setx,http.gif,image_downloads

 关键字将会

设置 

http.gif

 

flowbits

 状态，并取消设置组中的另一个状态 

http.jpeg

。