SNORT:PCRE 是否对 SSN 进行密集测试

SNORT:PCRE 是否对 SSN 进行密集测试

我正在尝试编写一条 Snort 规则来查找 SSN。由于现有设备的限制,我无法使用预处理器设置。运行针对 SSN 的 PCRE 规则的强度有多大?这实际上会对每个数据包执行正则表达式比较,这似乎相当耗时。

答案1

您是否正在尝试使用 Snort 实施 DLP?您可能会发现这些 链接有趣的。

如果网络流量很大,任何类型的正则表达式处理都必然会很繁重。您或许可以让规则过滤器更加具体,这样 Snort 就不会尝试对所有东西进行正则表达式匹配?目标应用程序/协议可能包含有趣的数据。

相关内容