Cisco Cisco Firepower Management Center 2000 User Guide

36-31

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

可以用下表中所述的参数进一步定义系统如何使用 

byte_test

 参数。

只能指定 

、

 或 

。

要定义 

byte_test

 关键字如何计算其测试的字节，请从下表中选择参数。如果未指定参数，将使

用网络字节顺序。

可以使用下表所列的其中一个参数来定义系统如何在数据包中查看字符串。

例如，如果如下指定 

byte_test

 的值：

Bytes = 4

Operator and Value > 128

Offset = 8

Relative 已启用

规则引擎会计算自 （相对于）上一次成功内容匹配后显示的 9 个字节当中 4 个字节中描述的数
值，如果计算出的数值大于 128 字节，将触发规则。

表 

其他可选

参数 

参数

说明

Relative

使偏移量相对于上一次成功模式匹配。

调整

将转换的字节数四舍五入为下一个 32 位边界。

表 

字节顺序

参数 

参数

说明

Big Endian

按大端字节顺序处理数据 （大端字节顺序是默认的网络字节顺序）。

Little Endian

按小端字节顺序处理数据

DCE/RPC

指定 DCE/RPC 预处理器处理的流量的 

byte_test

 关键字。有关详情，请参

见

由 DCE/RPC 预处理器确定大端字节顺序或小端字节顺序，

 和 

 参数不适用。

如果启用此参数，还可以将 

byte_test

 与其他特定 DCE/RPC 关键字结合使

用。有关详情，请参见

表 

数字类型

参数 

参数

说明

Hexadecimal String 使用十六进制格式表示转换的字符串数据。

Decimal String

使用十进制格式表示转换的字符串数据。

Octal String

使用八进制格式表示转换的字符串数据。