1、这些是已知和确认的活动僵尸网络和其C&C(command and control)服务器。由一些组织生成，每日更新
botcc.portgrouped.rules
botcc.rules

2、封锁被ciArmy.com标记出来的Top Attackers
ciarmy.rules

3、这是一个已知的受影响的主机列表，每天更新
compromised.rules

4、每天更新的Spamhaus DROP(Don't Route or Peer)列表。列出了著名的、专业的垃圾邮件发送者
drop.rules

5、每天更新的DShield top attackers。十分可靠
dshield.rules

6、主要用来检测与ActiveX控件有关的攻击
emerging-activex.rules

7、这些规则是为了捕获成功攻击的结果，诸如“id=root”之类的东西，或者表示可能发生妥协的错误消息（即虽然产生了错误消息，但是攻击已经成功）
emerging-attack_response.rules

8、主要检测聊天软件、即时通讯软件的攻击，大部分是国外的一些软件，比如facebook，雅虎，msn
emerging-chat.rules

9、这些规则是不打算在规则集中长期保存的，或者是在被包含之前进行测试
emerging-current_events.rules

10、里面都是被注释掉的规则，可能删除后的规则放在这里
emerging-deleted.rules

11、检测dns协议相关的攻击
emerging-dns.rules

12、目的是捕获入站的DOS（拒绝服务）活动和出站指示
emerging-dos.rules

13、检测ftp协议相关的攻击
emerging-ftp.rules

14、魔兽世界、星际争霸和其他流行的在线游戏都在这里。我们不打算把这些东西贴上邪恶的标签，只是它们不适合所有的攻击环境，所以将它们放在了这里。
emerging-games.rules

15、检测与icmp协议相关的攻击
emerging-icmp_info.rules
emerging-icmp.rules

16、直接检测exploits（漏洞）的规则
emerging-exploit.rules

17、检测与imap相关的攻击
emerging-imap.rules

18、色情、儿童色情，你不应该在工作中访问的网站等等。
emerging-inappropriate.rules

19、似乎是检测与信息泄露、信息盗取等事件的规则
emerging-info.rules

20、检测恶意软件
emerging-malware.rules

21、检测混杂的攻击，这种攻击一般没有确切的分类，或者使用了多种技术
emerging-misc.rules

22、检测移动设备上的恶意软件
emerging-mobile_malware.rules

23、检测与netbios有关的攻击
emerging-netbios.rules

24、P2P(Peer to Peer)之类的。我们并不想将它定义为有害的，只是不适合出现在IPS/IDS的网络环境中
emerging-p2p.rules

25、对于经常被公司或组织政策禁止的事务的规则。Myspace、Ebay之类的东西
emerging-policy.rules

26、检测与pop3协议有关的攻击
emerging-pop3.rules

27、检测与rpc（远程过程调用协议)有关的攻击
emerging-rpc.rules

28、检测与SCADA（数据采集与监控系统）相关的攻击
emerging-scada.rules

29、检测探测行为。Nessus，Nikto，端口扫描等这样的活动。这是攻击前准备时期的警告
emerging-scan.rules

30、检测shellcode，shellcode是一段用于利用软件漏洞而执行的代码，以其经常让攻击者获得shell而得名
emerging-shellcode.rules

31、检测与smtp协议相关的攻击
emerging-smtp.rules

32、检测与snmp协议相关的攻击
emerging-snmp.rules

33、这是一个巨大的规则集，用于捕获在特殊应用程序上的特殊攻击。这里面有一些普遍的SQL注入攻击规则，效果很好，可以捕获大多数攻击
emerging-sql.rules

34、检测与telnet协议相关的攻击
emerging-telnet.rules

35、检测与tftp协议相关的攻击
emerging-tftp.rules

36、检测trojan木马
emerging-trojan.rules

37、检测异常的user-agents
emerging-user_agents.rules

38、检测voip相关的异常，它是一个新兴的规则集，目前还很小，但是我们预计它很快就会增长。
emerging-voip.rules

39、检测web客户端的攻击
emerging-web_client.rules

40、检测web服务端的攻击
emerging-web_server.rules

41、检测特殊的web应用程序的异常
emerging-web_specific_apps.rules

42、检测蠕虫
emerging-worm.rules

43、检测modbus事件
modbus-events.rules

44、检测smtp事件
smtp-events.rulse

45、检测stream事件
stream-events.rules

46、检测tls事件
tls-events.rules

47、检测使用tor进行匿名通信的流量
tor.rules

snort规则关键字：

msg - 在报警和包日志中打印一个消息。
logto - 把包记录到用户指定的文件中而不是记录到标准输出。
ttl - 检查ip头的ttl的值。
tos 检查IP头中TOS字段的值。
id - 检查ip头的分片id值。
ipoption 查看IP选项字段的特定编码。
fragbits 检查IP头的分段位。
dsize - 检查包的有效净荷大小的值 。净荷：指用户原始数据。
flags -检查tcp flags的值。
seq - 检查tcp顺序号的值。
ack - 检查tcp应答（acknowledgement）的值。
window -测试TCP窗口域的特殊值。
itype - 检查icmp type的值。
icode - 检查icmp code的值。
icmp_id - 检查ICMP ECHO ID的值。
icmp_seq - 检查ICMP ECHO 顺序号的值。
content - 在包的净荷中搜索指定的样式。
content-list 在数据包载荷中搜索一个模式集合。
offset - content选项的修饰符，设定开始搜索的位置 。
depth - content选项的修饰符，设定搜索的最大深度。
nocase - 指定对content字符串大小写不敏感。
session - 记录指定会话的应用层信息的内容。
rpc - 监视特定应用/进程调用的RPC服务。
resp - 主动反应（切断连接等）。
react - 响应动作（阻塞web站点）。
reference - 外部攻击参考ids。
sid - snort规则id。
rev - 规则版本号。
classtype - 规则类别标识。
priority - 规则优先级标识号。
uricontent - 在数据包的URI部分搜索一个内容。
tag - 规则的高级记录行为。
ip_proto - IP头的协议字段值。
sameip - 判定源IP和目的IP是否相等。
stateless - 忽略状态的有效性。
regex - 通配符模式匹配。
distance - 强迫关系模式匹配所跳过的距离。
within - 强迫关系模式匹配所在的范围。
byte_test - 数字模式匹配。
byte_jump - 数字模式测试和偏移量调整。
flow:这个选项要和TCP流重建联合使用。它允许规则只应用到流量流的某个方向上。这将允许规则只应用到客户端或者服务器

常见关键字：
1、msg
在报警和包日志中打印消息。格式：(msg :”str”)

2、gid
用于表示当某一触发规则的事件发生时，标识是snort的哪一部分生成。格式：（gid：10000）
3、sid
用来做规则的唯一标识。格式：（sid:10000）

4、rev
往往和sid字段一起使用，用于标注针对这条规则的版本，每修改一次rev数值加1，格式：（sid:1000; rev:1;）

5、classtype
用于对攻击检测的规则和产生的日志进行分类，这个定义一般是在classification.conf文件中指定

6、reference
表明这条规则相关信息所在url，一条规则可以使用多次reference，定义引用的地方则是在reference.config配置文件中，格式：（reference:cve,can-2000-15;）

7、priority
表示此条规则或class的匹配优先级，即使在classification.config文件中指定了每个class的priority，还是可以在规则中重新制定priority字段进行覆盖该字段的值范围从1-255，
在suricata中数字越小表示优先级越高，也就是说如果两条规则都能匹配，则优先匹配priority字段小的规则

8、metadata
表明此条规则生成的时间以及最后更新的时间

9、Payload
所谓的有效字段关键字在英文中就是payload，因为不想翻译成难懂的载荷所以姑且暂时这个么说。说白了就是对流量数据包中的实际需要传输的内容进行检测，
比如你打开网页，数据包中的payload便是网页中看到的内容的代码

10、content
content关键字在suricata规则中非常重要，大部分规则都要使用这个关键字来匹配数据包中的内容
content中的内容是按字节匹配的，能匹配ASCII码从0-255的字节，可打印字符比如a-z可以直接写，而某些特殊符号或是不可打印的字符则需要使用十六进制来表示。如下：
|0a|和|0A| 表示空格，十六进制表示时不区分大小写
|61| 表示字母a
|21| 表示!
b 表示字母b
B 表示字母B(直接写a-z的字符则区分大小写)
|61|b 表示字母ab，十六进制描述可以和字符混着写

如果没有在content后面指定其他相关的关键字，那么suricata便会在整个payload字段中搜索content的内容。比如content:"abC";会在整个payload中搜索abC字符，
而如果是像下面这么写，则表示payload字段中前三个字符为abC，前第四个字符并不是abCD，也就是第四个字符不为D：content:"abC"; content:!"abCD";

11、nocase
nocase关键字是用来修饰content字段的，在content字段后加上nocase表示content中的内容不区分大小写

12、depth
depth也是修饰content的关键字，表示从payload开始多少个字节与content中的内容进行匹配

13、offset
与depth不同的是offset是从payload开头先偏移指定字节再对content进行匹配

14、distance
distance表示从上一个content匹配的末尾偏移指定数量字符再进行本次的content匹配

15、within
within也是一个修饰content的关键字，他表示从上一个content匹配位置之后的指定字节内对当前的content进行匹配，within的值不能为0

16、isdataat
isdataat关键字是用来判断指定偏移处的字符是否是数据

17、dsize
dsize是用来检测数据包中的payload长度是否在符合要求的范围内，这样可以有效的组织一些缓冲区溢出的攻击

18、replace
replace关键字是用来替换匹配到的content中的字符

19、pcre
pcre关键字使用PCRE来匹配payload中的内容，用法一般是首先使用content匹配到指定字符串，然后根据pcre对相应的payload进行正则匹配，

20、fast_pattern
suricata对只有一个content关键字的规则使用多模匹配，而对于多个content的规则就对最长对复杂的一个进行多模匹配，而fast_pattern则可以改变这个状况，
如果在较短较简单的content字段后加上fast_pattern关键字则会优先匹配这个content，有时这种方法可以有效提升效率