Snort classification.config文件概述

0x00來源

解壓自snortrules-snapshot-2975.tar.gz蔫敲,來自于<解壓目錄>/etc/
   classification.config
   reference.config
   sid-msg.map
   snort.conf
   threshold.conf
   unicode.map
將這些.conf和.map文件放在/etc/snort 目錄下扮碧,具體的請看 CentOS6.6下基于snort+barnyard2+base的入侵檢測系統(tǒng)的搭建

0x01文件頭翻譯

# $Id: classification.config,v 1.14 2011/06/08 00:33:04 jjordan Exp $
# The following includes information for prioritizing rules
# 下面的內(nèi)容包括了“優(yōu)先”規(guī)則的信息
# 
# Each classification includes a shortname, a description, and a default 
# priority for that classification.
# 每個類別都有簡稱,描述陡舅,默認(rèn)優(yōu)先級。
# This allows alerts to be classified and prioritized.  You can specify
# what priority each classification has.  Any rule can override the default
# priority for that rule.
# 這種方式使得告警可以被分類和優(yōu)先選擇。你可以指定每個分類的優(yōu)先級挂脑。任何規(guī)則都可以重寫這些
# 默認(rèn)的優(yōu)先級踊餐。
# Here are a few example rules:
# 
#   alert TCP any any -> any 80 (msg: "EXPLOIT ntpdx overflow"; 
#       dsize: > 128; classtype:attempted-admin; priority:10;
#
#   alert TCP any any -> any 25 (msg:"SMTP expn root"; flags:A+; \
#             content:"expn root"; nocase; classtype:attempted-recon;)
#
# The first rule will set its type to "attempted-admin" and override 
# the default priority for that type to 10.
# 第一個規(guī)則被分在"attempted-admin"類景醇,并且重寫了默認(rèn)優(yōu)先級。
# The second rule set its type to "attempted-recon" and set its
# priority to the default for that type.
# 第二個規(guī)則被分在"attempted-recon"類吝岭,采用了此類別默認(rèn)的優(yōu)先級三痰。
#
# config classification:shortname,short description,priority
# 用以上格式書寫

0x02 修飾符

此文件對應(yīng)的修飾符是classtype。查看manual可知窜管,此關(guān)鍵字的作用為了將告警分類散劫。
舉個例子。

alert tcp any any -> any 25 (msg:"SMTP expn root"; flags:A+; content:"expn root"; nocase; classtype:attempted-recon;)

classtype必須在classification.config文件中才可以使用幕帆,如果想自定義获搏,可以自行修改clssfication.config文件。

0x03 數(shù)據(jù)庫

classtype對應(yīng)著數(shù)據(jù)庫中的sig_class表蜓肆,全稱寫出來更好理解一點(diǎn)颜凯,signature_classification谋币。
  通過這里我們了解到snort數(shù)據(jù)庫的ER圖,sig這部分的如下:

sig三張表

mysql> desc sig_class
    -> ;
+----------------+------------------+------+-----+---------+----------------+
| Field          | Type             | Null | Key | Default | Extra          |
+----------------+------------------+------+-----+---------+----------------+
| sig_class_id   | int(10) unsigned | NO   | PRI | NULL    | auto_increment |
| sig_class_name | varchar(60)      | NO   | MUL | NULL    |                |
+----------------+------------------+------+-----+---------+----------------+
2 rows in set (0.07 sec)
mysql> select * from sig_class;
+--------------+-----------------+
| sig_class_id | sig_class_name  |
+--------------+-----------------+
|            1 | attempted-admin |
|            2 | misc-attack     |
+--------------+-----------------+
2 rows in set (0.00 sec)

sig_class表中就兩列症概,sig_class_id是分類的ID(應(yīng)該是遞增的)蕾额,sig_class_name是分類的名稱。


mysql> desc signature;
+--------------+------------------+------+-----+---------+----------------+
| Field        | Type             | Null | Key | Default | Extra          |
+--------------+------------------+------+-----+---------+----------------+
| sig_id       | int(10) unsigned | NO   | PRI | NULL    | auto_increment |
| sig_name     | varchar(255)     | NO   | MUL | NULL    |                |
| sig_class_id | int(10) unsigned | NO   | MUL | NULL    |                |
| sig_priority | int(10) unsigned | YES  |     | NULL    |                |
| sig_rev      | int(10) unsigned | YES  |     | NULL    |                |
| sig_sid      | int(10) unsigned | YES  |     | NULL    |                |
| sig_gid      | int(10) unsigned | YES  |     | NULL    |                |
+--------------+------------------+------+-----+---------+----------------+
7 rows in set (0.04 sec)

mysql> select * from signature;
+--------+--------------------------------+--------------+--------------+---------+---------+---------+
| sig_id | sig_name                       | sig_class_id | sig_priority | sig_rev | sig_sid | sig_gid |
+--------+--------------------------------+--------------+--------------+---------+---------+---------+
|      8 | Snort Alert [1:1000011:0]      |            0 |         NULL |       1 | 1000011 |       1 |
|      9 | PROTOCOL-ICMP PACKAGE DETECTED |            0 |         NULL |       1 | 1000011 |       1 |
+--------+--------------------------------+--------------+--------------+---------+---------+---------+
2 rows in set (0.00 sec)

從上面我們可以看到兩張表中彼城,sig_class的主鍵是sig_class_id诅蝶,signature表的主鍵是sig_id,外鍵是sig_class_id募壕。

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末调炬,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子舱馅,更是在濱河造成了極大的恐慌缰泡,老刑警劉巖,帶你破解...
    沈念sama閱讀 222,590評論 6 517
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件代嗤,死亡現(xiàn)場離奇詭異棘钞,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)干毅,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 95,157評論 3 399
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門宜猜,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人硝逢,你說我怎么就攤上這事姨拥。” “怎么了渠鸽?”我有些...
    開封第一講書人閱讀 169,301評論 0 362
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵叫乌,是天一觀的道長。 經(jīng)常有香客問我拱绑,道長综芥,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 60,078評論 1 300
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任猎拨,我火速辦了婚禮,結(jié)果婚禮上屠阻,老公的妹妹穿的比我還像新娘红省。我一直安慰自己,他們只是感情好国觉,可當(dāng)我...
    茶點(diǎn)故事閱讀 69,082評論 6 398
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布吧恃。 她就那樣靜靜地躺著,像睡著了一般麻诀。 火紅的嫁衣襯著肌膚如雪痕寓。 梳的紋絲不亂的頭發(fā)上傲醉,一...
    開封第一講書人閱讀 52,682評論 1 312
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音呻率,去河邊找鬼硬毕。 笑死,一個胖子當(dāng)著我的面吹牛礼仗,可吹牛的內(nèi)容都是我干的吐咳。 我是一名探鬼主播,決...
    沈念sama閱讀 41,155評論 3 422
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼元践,長吁一口氣:“原來是場噩夢啊……” “哼韭脊!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起单旁,我...
    開封第一講書人閱讀 40,098評論 0 277
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對情侶失蹤沪羔,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后象浑,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體任内,經(jīng)...
    沈念sama閱讀 46,638評論 1 319
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 38,701評論 3 342
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年融柬,在試婚紗的時候發(fā)現(xiàn)自己被綠了死嗦。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 40,852評論 1 353
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡粒氧,死狀恐怖越除,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情外盯,我是刑警寧澤摘盆,帶...
    沈念sama閱讀 36,520評論 5 351
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站饱苟,受9級特大地震影響孩擂,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜箱熬,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 42,181評論 3 335
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一类垦、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧城须,春花似錦蚤认、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,674評論 0 25
  • 一樁弒父案砰琢,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至,卻和暖如春陪汽,著一層夾襖步出監(jiān)牢的瞬間训唱,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 33,788評論 1 274
  • 情欲美人皮
    我被黑心中介騙來泰國打工挚冤, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留况增,地道東北人。 一個月前我還...
    沈念sama閱讀 49,279評論 3 379
  • 代替公主和親
    正文 我出身青樓你辣,卻偏偏與公主長得像巡通,于是被迫代替她去往敵國和親。 傳聞我的和親對象是個殘疾皇子舍哄,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 45,851評論 2 361

推薦閱讀更多精彩內(nèi)容

  • Spring Cloud為開發(fā)人員提供了快速構(gòu)建分布式系統(tǒng)中一些常見模式的工具(例如配置管理宴凉,服務(wù)發(fā)現(xiàn),斷路器表悬,智...
    卡卡羅2017閱讀 134,715評論 18 139
  • 轉(zhuǎn)至元數(shù)據(jù)結(jié)尾創(chuàng)建: 董瀟偉弥锄,最新修改于: 十二月 23, 2016 轉(zhuǎn)至元數(shù)據(jù)起始第一章:isa和Class一....
    40c0490e5268閱讀 1,732評論 0 9
  • 1. 簡介 1.1 什么是 MyBatis ? MyBatis 是支持定制化 SQL蟆沫、存儲過程以及高級映射的優(yōu)秀的...
    笨鳥慢飛閱讀 5,532評論 0 4
  • 畢業(yè)季饭庞,又有一大波的小鮮肉奔走面試的路上戒悠,懷著對大新世界的向往,開始了漫漫求職路舟山。 但绸狐,你們千萬別以為,面試就是面...
    程曉曉閱讀 2,218評論 5 2
  • 我從來都不認(rèn)為自己是個矯情的女孩累盗。至少寒矿,我不會無緣無故的生氣。 我靜靜地看著她們若债,眼底的涼一點(diǎn)一點(diǎn)溢出符相。我持著雨傘...
    轉(zhuǎn)轉(zhuǎn)大輪子閱讀 349評論 0 0