Cisco Cisco Firepower Management Center 2000 User Guide

36-82

FireSIGHT 系统用户指南

第 36 章      了解和编写入侵规则       

  了解规则中的关键字和参数

要指明想要记录的流量数量，请使用以下参数：

选择下表中所述的其中一个指标，以指明是要按时间还是流量数量进行记录。

注意事项

高带宽网络可以每秒查看成千上万个数据包，而且对大量数据包进行标记可能会严重影响性能，
因此，请务必根据网络环境调整设置。

例如，如果带有以下 

tag

 关键字值的规则触发：

host, 30, seconds, dst

将会记录在接下来的 30 秒内从客户端传输到主机的所有数据包。

检测跨越多个数据包的攻击

许可证：保护

可以使用 

flowbits

 关键字为会话分配状态名称。通过根据之前命名的状态分析会话中的后续数据

包，系统可以检测在一个会话中跨越多个数据包的攻击，并发出有关警报。

flowbits

 状态名称是用户定义的标签，将被分配给会话特定部分中的数据包。可以根据数据包内

容给数据包分配状态名称标签，以帮助将恶意数据包和那些您不想对其发出警报的数据包区分
开。最多可以为每个受管设备定义 1024 个状态名称。例如，如果要对您知道仅在成功登录后才
会出现的恶意数据包发出警报，可以使用 

flowbits

 关键字过滤掉构成初始登录尝试的数据包，这

样就能够重点关注恶意数据包。要这样做，首先要创建一个会给具有状态为 

logged_in

 的已建立

登录的会话中的所有数据包分配标签的规则，然后创建另一个包含 

flowbits

 的规则，用以检查具

有您在第一个规则中设置的状态的数据包，并且只对这些数据包采取操作。有关使用 

flowbits

 来

确定用户是否已登录的示例，请参阅

。

表 

标记参数 

参数

说明

会话

记录触发规则的会话中的数据包。

主机

记录来自发送触发规则的数据包的主机的数据包。可以添加方向修饰符，以仅记录
来自主机 (

src

) 或发送到主机 (

dst

) 的流量。

表 

计数参数 

参数

说明

count

您想在规则触发后记录的数据包数量或秒数。

此度量单位用指标参数指定 （该参数跟在计数参数后面）。

表 

记录指标参数 

参数

说明

数据包

在规则触发后记录计数指定的数量的数据包。

秒

在规则触发后在计数指定的秒数内记录流量。