文章提出了一个针对Suricata 7.0.3版本的Emerging Threats PRO/OPEN规则集的更新和优化方法。以下是文章中提到的核心方法、步骤和策略:
- 规则集的更新:针对Suricata 7.0.3版本,Emerging Threats团队对现有的规则集进行了分支处理,以支持新版本的Suricata。
- 下载新规则集:提供了详细的下载指南,包括如何使用wget命令下载新的规则集,并对ETPRO和ET Open用户进行了区分。
- HTTP/2支持:由于HTTP/2的特性,对超过9500条规则进行了修改,以更好地支持HTTP/2流量。这包括对规则内容的转换和修改,以解决HTTP头名称大小写差异导致的误报和漏报问题。
- 规则分类变更:引入了新的规则分类,如FILE_SHARING、REMOTE_ACCESS、DYN_DNS和TA_ABUSED_SERVICES,并对现有分类进行了合并和优化。
- 规则的现代化和规范化:对超过10年的规则进行了现代化处理,包括使用更具体的关键词和优化规则集。
- 风格指南的执行:对规则进行了编辑,以符合最近发布的Suricata社区风格指南标准。
- 新特性的利用:介绍了Suricata 7.0.3中的新特性,如额外的转换选项(xor和url_decode)、新的应用层协议支持和新的协议特定关键词。
- 反馈与支持:鼓励用户提供反馈,报告新威胁或现有规则的误报和漏报问题,以便不断优化规则集。
- Suricata 7.0.3的主要改进:
- 支持HTTP/2协议,包括对HTTP头名称大小写差异的处理。
- 引入了新的转换选项,如xor和url_decode,以增强对特定流量模式的检测。
- 支持新的应用层协议,如rfb、rdp、snmp、bittorrent-dht和tftp。
- 提供了新的协议特定关键词,以更精确地匹配和检测协议流量。
- 确保新规则集与HTTP/2流量的兼容性:
- 对超过9500条规则进行了修改,以适应HTTP/2的特性。
- 使用header_lowercase和to_lowercase转换,以确保规则在HTTP/1和HTTP/2流量中都能正确触发。
- 对规则进行了调整,以处理HTTP/2中压缩的头部和请求行。
- 新引入的规则分类及其目的:
- FILE_SHARING:检测文件共享协议和服务。
- REMOTE_ACCESS:检测远程访问协议和服务。
- DYN_DNS:检测动态DNS服务的使用。
- TA_ABUSED_SERVICES:检测可能被威胁行为者滥用的服务。
- 规则现代化过程中的关键词替代:
- 使用http.user_agent、http.host等新关键词替代旧的Suricata 4关键词,以提高规则的准确性和效率。
- Suricata社区风格指南对规则编写的影响:
- 规则的编写更加规范和一致,提高了规则的可读性和维护性。
- 规则中的关键词使用更加标准化,如flow、flowbits和threshold的顺序和位置。
- 新的转换选项xor和url_decode提高检测能力:
- xor转换可以用于解码使用XOR操作混淆的网络流量,揭示潜在的攻击模式。
- url_decode转换可以自动解码URL编码的数据,使得规则能够匹配原始的、未编码的数据。
- Suricata 7.0.3支持的新应用层协议:
- rfb(远程帧缓冲协议,即VNC)
- rdp(远程桌面协议)
- snmp(简单网络管理协议)
- bittorrent-dht(BitTorrent分布式哈希表)
- tftp(简单文件传输协议)
- 新的协议特定关键词增强检测:
- 为特定协议提供了更详细的关键词,使得规则能够更精确地匹配和检测特定协议的流量。
- 通过Emerging Threats社区或反馈系统报告规则问题:
- 可以通过访问https://community.emergingthreats.net或https://feedback.emergingthreats.net提交反馈。
- 也可以通过电子邮件support@emergingthreats.net或社交媒体渠道联系。
- 对于不希望使用新规则集的用户,Emerging Threats提供的选项:
- 提供了选择性禁用特定规则或整个规则分类的选项。
- 对于想要继续使用Suricata 5规则集的用户,建议使用--suricata-version 5.0.0标志。