Как научиться создавать сигнатуры для выявления атак по сетевому трафику в Suricata, Snort и коммерческих продуктах

Структура:

1. Документация и руководства
2. Видеоматериалы и курсы
3. Бесплатные системы (Snort, Suricata)
4. Коммерческие решения
5. Специализированные ресурсы и инструменты
6. Рекомендованная последовательность изучения и контрольные вопросы

---

1. Документация и руководства

1. Suricata — правила (официально)
   Формат правил: header + options. Рекомендуется использовать suricata-update для управления наборами правил.
   Suricata — Rules Format (официально)
2. Snort 3 — Rule Writing Guide
   Подробное руководство Cisco Talos с примерами и best practices.
   Snort 3 Rule Writing Guide
3. NIST SP 800-94 — методология IDS/IPS
   Руководство по архитектуре и критериям оценки IDS/IPS.
   NIST SP 800-94 — Guide to Intrusion Detection and Prevention Systems
4. Suricata — управление правилами
   suricata-update — стандартный инструмент загрузки и обновления ET Open/ET Pro.
   Suricata: suricata-update (rule management)

---

2. Видеоматериалы и обучающие курсы

1. SANS SEC503 — Network Monitoring & Threat Detection
   6-дневный курс с ~37 лабораторными работами. Уровень: инженер → аналитик.
   SANS SEC503 — описание курса
2. Cisco / Talos — Snort Rule Writing
   Практические занятия по созданию правил Snort 3.
   Cisco: Snort Rule Writing Course
3. Практические видео (YouTube)
   Palo Alto — Creating Custom Threat Signatures
   Snort 3 — Rule Writing with Labs
   Writing Simple Custom Suricata Rules

---

3. Бесплатные системы (Snort, Suricata) — примеры и практика

1. Suricata — пример правила

   # Пример: HTTP GET с /evil
   alert http any any -> any 80 (msg:"HTTP GET /evil"; http.uri; content:"/evil"; sid:1000001; rev:1;)
   

   Пояснение: alert — действие, http.uri — проверка URI, sid — уникальный ID.

2. Snort 3 — пример правила

   alert tcp any any -> any 80 (msg:"Possible exploit"; flow:established,to_server; content:"/exploit"; sid:2000001; rev:1;)
   

   Тестирование: snort -c /etc/snort/snort.conf -r sample.pcap -A console

3. Источники правил
   Emerging Threats Open (Suricata)
   Snort Rule Packages

---

4. Коммерческие решения

1. Palo Alto Networks — Custom Threat Signatures
   Palo Alto — Create a Custom Threat Signature
   GitHub: pan-custom-signatures
2. Fortinet / Check Point / TippingPoint
   Fortinet — Custom IPS Signature
   Check Point — Application Control Signature Tool
   TippingPoint — Signature Management Guide

---

5. Специализированные ресурсы и инструменты

1. Cisco Talos Threat Intelligence — примеры построения сигнатур.
   Cisco Talos — Threat Intelligence
2. Emerging Threats / Proofpoint — ET Open и ET Pro правила.
   Proofpoint Rulesets
3. HackTheBox IDS/IPS Lab — практика по созданию и тестированию правил.
   HackTheBox — Working with IDS/IPS
4. Научные публикации
   ScienceDirect — Attack Signature

---

6. Рекомендованная последовательность изучения

1. 1–2 дня — теория: NIST SP 800-94.
2. 2–5 дней — практика: Suricata + ET Open.
3. 2–3 дня — Snort 3 Rule Writing Guide.
4. 1–2 дня — сигнатуры производителей NGFW (Palo Alto Networks, Fortinet).
5. 2–6 недель — глубокое обучение: курс SANS SEC503.

---

Короткий чек-лист перед публикацией сигнатуры

• Уникальный SID (>1000000).
• False positive rate <1% на тестовых PCAP.
• Производительность: <10 cpu="" li="" throughput.="">
• Документировать: цель, метод, дата, автор.

Основные источники:

• Suricata — Rules Format
• Snort 3 Rule Writing Guide
• NIST SP 800-94
• SANS SEC503
• Palo Alto — Custom Threat Signature
• Emerging Threats Open