安全规则库主要是针对Web应用检测识别库、漏洞利用检测识别库、实时漏洞分析识别库、黑客工具检测识别库、自定义检测识别库进行管理。

展示查询

在[系统设置/安全能力配置/安全规则库]页面，可以根据库类型展开查看对应的规则列表，每条规则信息包括：规则ID、威胁名称、威胁等级、威胁类型、配置时间、状态和编辑操作等，如下如所示。

实际运营过程中，可以根据威胁类型、威胁等级、以及规则ID或者关键字模糊匹配等方便查询，如下图所示。

编辑管理

对于多条规则，可以批量进行状态的切换，如下图所示。

对于单条规则，除了可以进行状态的切换，点击< >下钻到规则详情页面，还可以修改规则的威胁等级，如下图所示。

定义web应用检测规则

在[系统设置/安全能力配置/安全规则库]页面，点击<新增>下拉选择[自定义web应用检测规则]，如下图所示。

其中：

• 状态：默认启用状态；

• 威胁名称：自定义名称；

• 字符串：需要匹配的字符串内容，分为“匹配所有数据”和“匹配URL/Cookie/表单”，输入需要匹配的字符串，支持文本格式和二进制；

• 正则表达式：针对字符串进行字段转换，翻译为正则表达式，点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证，如下图所示。

• 请求方向：匹配方向包括请求方向、应答方向、双向匹配；

• 威胁等级：规则的威胁等级分为：高威胁、中威胁、低威胁；

• 描述：自定义规则描述；

• 攻击影响：该规则对攻击的影响说明。

字符串和正则表达式不能同时为空。

自定义漏洞检测规则

在[系统设置/安全能力配置/安全规则库]页面，点击<新增>下拉选择[自定义漏洞利用检测规则]，如下图所示。

其中：

• 状态：分为启用、禁用状态，默认启用状态；

• 威胁名称：自定义名称；

• 字符串：需要匹配的字符串内容，分为“匹配所有数据”和“匹配URL/Cookie/表单”，输入需要匹配的字符串，支持文本格式和二进制；

• 正则表达式：针对字符串进行字段转换，翻译为正则表达式，点击<正则表达式测试>可以在弹框中对正则表达式和字符串进行格式验证，如下图所示。

• 请求方向：匹配方向包括请求方向、应答方向；

• 协议：需指定规则对应的协议，TCP还是UDP；

• 端口：填写规则关联的端口，支持单个端口。

• 威胁等级：规则的威胁等级分为：高威胁、中威胁、低威胁；

• 描述：自定义规则描述；

• 攻击影响：该规则对攻击的影响说明。

字符串和正则表达式不能同时为空。