regex - 检测 Base64 编码的 Snort 规则

问题描述

我正在尝试将以下正则表达式合并到 snort 规则中，以检测出站 ICMP 流量中的 base64：^-A-Za-z0-9+/=]|=[^=]|={3,}$

我自己没有写这个表达式，但是我测试了它，它似乎在http://regexe.com/中工作得很好。

鼻息法则：alert icmp $HOME_NET any -> $EXTERNAL_NET any (msg:“Base64 detected in outbound ICMP traffic (possible ICMP tunnelling!)";pcre"^-A-Za-z0-9+/=]|=[^=]|={3,}$";)

我知道 snort 使用 Perl Compatible Regex 这可能解释了这种差异，但是我不够熟练，无法找出需要更改的内容来解决这个问题。当我将此规则添加到时出现以下错误/etc/snort/rules/local.rules file：ERROR: /etc/snort/rules/local.rules Line 8 => unable to parse pcre regex "^-A-Za-z0-9+/=]|=[^=]|={3,}$"

任何人都可以提供帮助？

问候，

标签： regexpcresnort