Thresholding 关键字

1.Thresholding（阈值）关键字 

可以按规则配置阈值，也可以全局配置阈值,请参阅全局阈值。

1.1 阈值

threshold关键字可用于控制规则的警报频率。它有3种模式：threshold, limit and both，即阈值，限制和两者。

threshold:type<threshold|limit|both>,track<by_src|by_dst>,count<N>,seconds<T>

1.1.1 threshold 类型

此类型可用于在规则生成警报之前为其设置最小阈值。阈值设置N表示在第N次规则匹配警报时生成。

如：

alert tcp !$HOME_NET any -> $HOME_NET 25 (msg:"ET POLICY Inbound Frequent Emails - Possible Spambot Inbound"; flow:established; content:"mail from|3a|"; nocase;threshold: type threshold, track by_src, count 10, seconds 60; reference:url,doc.emergingthreats.net/2002087; classtype:misc-activity; sid:2002087; rev:10;)

如果我们在一分钟的时间段内从同一服务器收到10封或更多入站电子邮件，则此签名仅生成警报。

如果规则设置了flowbit，flowint等，那么仍然会为每个匹配执行这些操作。

规则操作drop (IPS模式）和reject 应用于每个数据包（不仅是满足阈值条件的数据包)。

1.1.2 limit 类型

此类型可用于确保您不会被警报淹没。如果设置为限制N，则最多警报N次。

如：

alert http $HOME_NET any -> any $HTTP_PORTS (msg:"ET USER_AGENTS Internet Explorer 6 in use - Significant Security Risk"; flow:to_server,established; content:"|0d 0a|User-Agent|3a| Mozilla/4.0 (compatible|3b| MSIE 6.0|3b|";  threshold: type limit, track by_src, seconds 180, count 1;                                          reference:url,doc.emergingthreats.net/2010706; classtype:policy-violation; sid:2010706; rev:7;)

在此示例中，如果检测到MSIE 6.0，则在3分钟内每个主机最多生成1个警报

如果规则设置了flowbit，flowint等，那么仍然会为每个匹配执行这些操作。

规则操作drop (IPS模式）和reject 应用于每个数据包（不仅是满足阈值条件的数据包)。

1.1.3 both 类型

此类型是“阈值”和“限制”类型的组合。它既适用于阈值处理，也适用于限制。

如：

alert tcp $HOME_NET 5060 -> $EXTERNAL_NET any (msg:"ET VOIP Multiple Unauthorized SIP Responses TCP"; flow:established,from_server; content:"SIP/2.0 401 Unauthorized"; depth:24; threshold: type both, track by_src, count 5, seconds 360; reference:url,doc.emergingthreats.net/2003194; classtype:attempted-dos; sid:2003194; rev:6;)

如果在6分钟内有5个或更多“SIP/2.0 401 Unauthorized”响应，此警报将仅生成警报，并且在6分钟内仅警报一次。

如果规则设置了flowbit，flowint等，那么仍然会为每个匹配执行这些操作。

规则操作drop (IPS模式）和reject 应用于每个数据包（不仅是满足阈值条件的数据包)。

2. detection_filter

在达到阈值后，detection_filter关键字可用于每次匹配告警。它与阈值类型threshold的不同之处在于，它在达到初始阈值后为每个规则匹配生成警报，后者将重置其内部计数器，并在再次达到阈值时再次发出警报。

语法：

detection_filter:track<by_src|by_dst>,count<N>,seconds<T>

示例：

alert http $EXTERNAL_NET any -> $HOME_NET any (msg:"ET WEB_SERVER WebResource.axd access without t (time) parameter - possible ASP padding-oracle exploit";  flow:established,to_server; content:"GET"; http_method; content:"WebResource.axd"; http_uri; nocase;  content:!"&t="; http_uri; nocase; content:!"&amp|3b|t="; http_uri; nocase; detection_filter:track by_src,count 15,seconds 2;                                  reference:url,netifera.com/research/; reference:url,www.microsoft.com/technet/security/advisory/2416728.mspx; classtype:web-application-attack; sid:2011807; rev:5;)

在2秒内发生15次或更多次匹配后，每次都会发出警报。

如果规则设置了flowbit，flowint等，那么仍然会为每个匹配执行这些操作。

规则操作drop (IPS模式）和reject 应用于每个数据包（不仅是满足阈值条件的数据包)。