Cisco Cisco Firepower Management Center 2000 User Guide

36-32

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

要使用 byte_test，请执行以下操作：

访问：管理员/入侵管理员

步骤 1

在 Create Rule 页面上，从下拉列表中选择 

byte_test

 并点击 

。

byte_test

 部分将显示在上次选择的关键字下方。

使用 PCRE 搜索内容

许可证：保护

pcre

 关键字使您可以使用兼容 Perl 的正则表达式 (PCRE) 为指定的内容检查数据包负载。使用 

PCRE 可避免编写以匹配相同内容的细微变化为目的的多个规则。

搜索可以多种方式显示的内容时，正则表达式很有用。内容可能有不同的属性；在尝试从数据包
负载中查找内容时，您会需要考虑其属性。

请注意，入侵规则使用的正则表达式语法是完整正则表达式库的一个子集，并该库中所用命令的语
法在某些方面存在不同之处。使用规则编辑器添加 

pcre

 关键字时，请按以下格式键入完整的值：

!/pcre/ ismxAEGRBUIPHDMCKSY

其中：

!是可选的否定式 （如果想匹配不匹配的正则表达式的模式，请使用此否定式）。

/pcre/

是一个兼容 Perl 的正则表达式。

ismxAEGRBUIPHDMCKSY

 是修饰符选项的任意组合。

另请注意，在 PCRE 中使用下表所列字符在数据包负载中搜索特定内容时，必须对这些字符进行
转义，以使规则引擎能正确地解释这些字符。

提示

或者，可以用引号将兼容 Perl 的正则表达式引起来，例如，

 或 

“pcre_expression”

。这一做法适合习惯使用旧版本的有经验的用户 （旧版本要求必须用引号将正

则表达式引起来）。规则在保存后再显示时，规则编辑器不会显示引号。

还可以使用 

m?regex?

，其中，

?

是除 / 以外的分隔符。如果需要在正则表达式中匹配一个正斜杠，

但不想用一个反斜杠来进行转义，可能需要使用此分隔符。例如，可以使用 

m?regex?ismxAEGRBUIPHDMCKSY

，其中 

 是兼容 Perl 的正则表达式，

ismxAEGRBUIPHDMCKSY

 是修

饰符选项的任意组合。有关正则表达式语法的详细信息，请参阅

表 

转义

字符 

必须转义的字符
......

使用反斜杠......

或使用十六进制代
码......

# （哈希标记）

\#

\x23

; （分号）

\;

\x3B

| （竖线）

\|

\x7C

: （冒号）

\:

\x3A