SnortML

类型

检查器 (被动)

使用方式

检测

实例类型

单例对象

所需其他检查器

snort_ml_engine、http_inspect

已启用

最大检测

每天都有新的漏洞出现在对现代社会至关重要的软件中。安全分析师会分解这些新漏洞,隔离触发这些漏洞的必要因素,并写入签名来检测针对这些漏洞的攻击。大多数签名实际上只能针对特定漏洞编写。

SnortML 是用于 Snort 入侵防御系统的基于人工网络的漏洞攻击检测。它不仅可以从训练数据中学习检测已知攻击,还可以学习检测以前从未见过的攻击。

snort_ml 检查器主要搜索通过 HTTP 的 SQL 注入攻击。由于此检查器可能会影响性能,因此默认情况下仅在处于 最大检测 模式下时启用。

SnortML 规则

启用 snort_ml 检查器规则以 生成事件并在内联部署中丢弃攻击性数据包。默认情况下,仅在 Maximum Detection NAP 策略下启用 snort_ml 检查器规则。

表 1. Snort ML 检查器规则

GID:SID

Rule Message

411:1

通过基于网络的漏洞攻击检测在 HTTP 参数中发现 (snort_ml) 潜在威胁。

SnortML 参数

uri_depth

指定要从 HTTP URI 扫描的字节数。值 -1 表示无限制。

类型: 整数

有效范围: -12147483648

默认值: -1

client_body_depth

指定要从 HTTP 客户端主题扫描的字节数。值 -1 表示无限制。

类型: 整数

有效范围: -12147483648

默认值: 0