Cisco Cisco Firepower Management Center 2000 User Guide

36-87

FireSIGHT 系统用户指南 

第 36 章      了解和编写入侵规则 

  了解规则中的关键字和参数  

第三个规则分片不会导致误报：

(msg:"JPEG exploit"; 

 

flowbits:isset,http.jpeg;content:"|FF|"; pcre:"/

 

\xFF[\xE1\xE2\xED\xFE]\x00[\x00\x01]/";)

下图说明了上述规则分片中 

flowbits

 关键字的影响：

由于 

flowbits:isset,http.jpeg

 为假，因此，规则引擎会停止处理规则，且不会生成事件，从而

避免误报 （即使 GIF 文件中的内容与 JPEG 文件的漏洞内容相匹配）。

生成关于 HTTP 编码类型和位置的事件

许可证：保护

可以使用 

http_encode

 关键字在未经规范化的 HTTP 请求或响应中生成关于编码类型的事件 - 可

以是在 HTTP URI 中，在 HTTP 报头的非 cookie 数据中，在 HTTP 请求报头的 cookie 中，或者在 
HTTP 响应的 set-cookie 数据。

必须配置 HTTP 检查预处理器以检查 HTTP 响应和 HTTP cookie，从而使用 

http_encode

 关键字返

回规则的匹配项。有关详细信息，请参阅

。

此外，要使入侵规则中的 

http_encode

 关键字针对特定编码类型触发事件，必须在 HTTP 检查预

处理器配置中为该编码类型启用解码和警报选项。有关详情，请参见

。

请注意， base36 编码类型已被弃用。为了实现向后兼容性，允许在现有规则中使用 base36 参数，
但它不会使规则引擎检查 base36 流量。

下表介绍了此选项可在 HTTP URI、报头、 cookie 和 set-cookie 中为其生成事件的编码类型。

表 

编码类型 

编码类型

说明

utf8

如果此编码类型已启用，并可供 HTTP 检查预处理器进行解码，将会在指定位
置检测 UTF-8 编码。

double_encode 如果此编码类型已启用，并可供 HTTP 检查预处理器进行解码，将会在指定位

置检测双编码。

non_ascii

如果检测到非 ASCII 字符但检测到的编码类型未启用，将会在指定位置检测非 
ASCII 字符。

uencode

如果此编码类型已启用，并可供 HTTP 检查预处理器进行解码，将会在指定位
置检测 Microsoft %u 编码。

bare_byte

如果此编码类型已启用，并可供 HTTP 检查预处理器进行解码，将会在指定位
置检测裸字节编码。