预定义规则表达式与安全规则引擎汇总
Refer:网络安全开发架构之基于规则引擎的开发架构
引言
安全规则引擎 是一种基于预定义规则的系统,用于自动化决策和执行,它通过解析和应用规则来检测、预防或响应潜在的安全威胁,这种引擎可以广泛应用于网络安全、数据安全、物联网安全等多个领域,
其主要目标是提高系统的安全性,减少人工干预,提升实时响应速度。
基于规则的检测是处理已知安全威胁的最有效手段,它作为当前安全检测的核心与基石,其地位短期内还无法动摇。
将规则引擎、语义分析与AI大模型算法进行结合,是新的趋势。
所以评判一个规则引擎是否合格的主要因素有:
- 有没有灵活的规则表达式来支持
- 规则和Java之间能否非常方便的联动
- API调用是否方便,和各种场景系统的集成如何
- 侵入性耦合比较
- 规则的学习成本,是否容易上手
- 规则表达式是否有语言插件
- 规则能否和业务松耦合,存储于其他地方
- 规则的变更能否实时改变逻辑
- 是否有界面形态来支持非技术人员的使用
- 框架的性能表现
一、不同安全产品中的规则引擎
Suricata
Yara 规则是基于二进制文件的静态HEX数据内容实现的扫描规则。简单点说,就是基于原始文件的内容数据扫描规则。
Snort 规则是基于IDS入侵检测系统,主要针对流量中数据包内容编写的扫描规则。
SIGMA 是一种通用的开放签名格式,允许以简单的方式描述SIEM系统中的相关日志事件
| 产品名称 | 产品类型 | 规则引擎 | 检测原理 | 数据处理 | ||
|---|---|---|---|---|---|---|
| Suricata | NIDS | Suricata | ||||
| Zeek | 开源网络监控和入侵检测工具 | |||||
| Veeam |
数据备份与恢复 Antivirus Scan YARA Scan |
YARA 2.0 | ||||
| SecurityOnion | IDS+HIDS+SOC | sigma+yara+snort | ||||
| ModSecurity | WAF web应用防火墙 | OWASP核心规则集(CRS) |
二、不同规则引擎的特征
| 规则引擎 | 适用场景 | 适用数据 | 检测原理 | 项目链接 | 特点 |
|---|---|---|---|---|---|
| sigma | 采集并需要处理多源异构的日志信息 | 任何类型的日志文件 |
https://www.loginsoft.com/post/threat-detection-with-sigma-rules |
||
| Snort | 用于网络流量 | 网络流量 | https://www.cnblogs.com/UnGeek/p/5849384.html | ||
| YARA 2.0 | 基于二进制文件的静态HEX数据内容实现的扫描规则 恶意软件模式搜索/匹配工具 |
文本或二进制文件 |
https://github.com/Yara-Rules/rules https://yara.readthedocs.io/en/stable/writingrules.html https://developer.aliyun.com/article/803980
|
||
| Falco |
https://github.com/falcosecurity/falco/blob/master/rules/falco_rules.yaml https://github.com/falcosecurity/falco |
单一事件匹配 |
浙公网安备 33010602011771号