IDS’lerde Kural/İmza Mantığı
- Kural mı imza mı?
– İmza(signature)= trafik içerisinde “imza(xyz gibi)” arama
– Kural(Rule)=İmza ve başka parçaları kontrol etme
– Snort imza tabanlı değil, kural tabanlı bir IPS’dir! - IDSler iki temel çalışma yöntemi
– İmza tabanlı
– Anormallik tabanlı - İmzalar Vulnerability tabanlı olabilir
- İmzalar Exploit tabanlı olabilir
Kuralları Anlama ve Yorumlama
- Snort yapılandırmasının en önemli bileşenlerinden.
- Saldırı tespit sistemine ne yapacağını söyleyen bileşenlerden
– Diğer bileşen Preprocessor(önişlemci)
Kural Çeşitleri
- Sourcefire kuralları
– Ticari kurallar
– Ücretsiz kurallar(30 gün gecikmeli?) - SO kurallar
- BE kuralları
- Kendi geliştireceğiniz kurallar