入侵检测系统规则分析及其创建研究(2)

　　接着开始写规则头。规则实现的功能应该可以对来自任何外部源、任何端口输入的，目的为Web服务器的HTTPS端口（443），且满足攻击特征的TCP流量进行报警，所以规则头可写为：
　　alert tcp $EXTERNAL_NET any-＞$HOME_SERVERS 443，
　　加上报警消息和版本号后，规则选项为：
　　（msg:”Slapper attack”;flow:to_server,established;content:”export.TERM=xterm; exec bash –i”;nocase;priority:1;rev:1）
　　联接规则头和规则选项，完成规则如下：
　　Alert tcp $EXTERNAL_NET any-＞$HOME_SERVERS 443（msg:”Slapper attack”; flow:to_server,established;content:”export.TERM=xterm; exec bash –i”; nocase; priority:1; rev:1）
　　至此就完成了监控Slapper蠕虫的规则。显然，利用流量分析的方法创建新规则，其工作重点在于识别含有确切攻击的正确数据包，并从中找出区别于其他攻击的唯一特征。