我已经有了一个工作规则,用于访问特定格式的文件(pcre)。问题是,该规则也会对符合模式但不存在的文件开火。现在,只有当文件存在时,该规则才会被触发。我曾想过通过检查服务器的响应来解决这个问题(如果404 -> 文件不存在),但我没有找到解决的方法。有谁知道如何解决这个问题,或者有什么办法可以让我用snort检查服务器上的文件是否真的存在?
如果找到一个解决方案:可以使用flowbits在多个规则之间建立依赖关系。