我不知道这个问题是否与编程有关,但我会试一试。我不熟悉Alienvault OSSIM系统。我正在努力学习如何制定自己的规则,但不幸的是,我遇到了一些困难。我在Snort rules文件夹内的规则文件"local.rules“中创建了一个简单的规则。
alert icmp any any <> any any (msg:"simple ping rule."; icode:0; itype:0; classtype:icmp-event; sid:250888; rev:5;)
从任何计算机对任何计算机执行icmp ping操作后,将触发此规则。我检查了Sn
前提:我非常了解SMTP的工作原理,以及如何读取电子邮件头.我知道所有的主要内容意味着什么,但如果我想知道邮件是否是恶意的(例如欺骗),我就不知道要找什么。
例如,给定以下电子邮件标题:
Delivered-To: damore@dis.uniroma1.it
Received: by 10.170.153.138 with SMTP id u132csp362868ykc;
Wed, 18 Jun 2014 22:23:12 -0700 (PDT)
X-Received: by 10.224.162.212 with SMTP id w20mr2259156qax.50.140315539