snort规则：记录访问包含单词“恶意软件”的网站

Question

我想创建一个snort规则，基本上记录任何数据包，一旦用户尝试访问其中的单词“恶意软件”的网页。这是我的，只是要求一些指导。所以基本上，一旦网页包含该短语，就会显示警报。

alert tcp any any -> any any 
(content:"malware"; 
    msg:"Someone clone is accessing a page with malware tagged!!!!"; 
    aid:10000002;rev:1;) 

Answer 1

警报TCP任何任何 - >任何任何（含量： “恶意软件”; MSG： “有人克隆访问与恶意软件标记过的页!!!!”;援助：10000002;启：1）

实际工作中，问题解决了