Я пытаюсь написать правило Snort для поиска SSN. Из-за ограничений устройства я не могу использовать настройки препроцессора. Насколько интенсивно было бы запускать правило PCRE для SSN? По сути, это будет выполнять сравнение регулярных выражений для каждого пакета, что кажется довольно интенсивным.
Вы пытаетесь реализовать DLP с помощью Snort? Вы можете найти эти ссылки интересный.
Любая обработка регулярных выражений неизбежно будет интенсивной, если имеется большой сетевой трафик. Возможно, вы можете сделать свои фильтры правил более конкретными, чтобы Snort не пытался сопоставить регулярное выражение со всем? Целевые приложения / протоколы, которые могут содержать интересные данные.