Arkime YARA规则库分享：100+常用威胁检测规则集合

YARA（Yet Another Recursive Acronym）是一种强大的模式匹配工具，广泛应用于恶意软件分析和威胁检测领域。Arkime作为开源的大规模全流量捕获与分析平台，深度集成了YARA规则引擎，允许用户通过自定义规则对网络流量中的可疑模式进行实时检测。本文将系统介绍Arkime的YARA规则体系，分享实用规则集合，并提供完整的部署与优化指南。

YARA规则在Arkime中的工作原理

Arkime的YARA集成模块位于capture/yara.c，该模块实现了从规则编译、内存扫描到结果回调的完整生命周期。其核心工作流程如下：

1. 规则加载：系统启动时通过arkime_yara_open()函数加载指定路径的YARA规则文件，支持同时加载普通规则和邮件专用规则
2. 编译优化：使用YARA编译器将规则文件编译为二进制格式，通过yr_compiler_get_rules()获取可执行规则集
3. 流量扫描：在数据包处理流程中调用arkime_yara_execute()，对会话数据执行内存扫描
4. 结果处理：匹配成功后通过arkime_yara_callback()函数添加标签（如yara:RuleName），这些标签可在Arkime界面中用于过滤和检索

YARA模块支持Yara 2.x至4.x全系列版本，通过条件编译自动适配不同版本的API差异，确保在各种环境中的兼容性。

核心规则文件与目录结构

Arkime项目中维护了多个YARA规则文件，分别服务于不同场景：

• 主规则文件：viewer/rules.yara 包含系统默认加载的基础规则集
• 测试规则：tests/rules.yara 用于单元测试的示例规则
• 规则编译器：capture/yara.c 实现YARA规则的加载、编译与执行逻辑

基础规则示例（POP3协议检测）：

rule Pop3Yara: tag1 tag2
{
    strings:
        $o = " POP3 "

    condition:
        $o in (0 .. 50)
}

该规则通过搜索字符串" POP3 "并限定其出现位置在数据流前50字节内，实现对POP3协议流量的快速识别。

常用威胁检测规则分类与示例

1. 协议识别规则

针对常见网络协议的特征字符串进行检测，帮助识别异常协议使用：

rule HttpPostRequest: http protocol
{
    strings:
        $method = "POST " ascii
        $version = "HTTP/1." ascii
        
    condition:
        $method at 0 and $version in (filesize - 100 .. filesize)
}

2. 恶意软件特征规则

基于已知恶意软件的特征码构建，例如针对Emotet恶意软件的检测：

rule EmotetMalware: malware emotet
{
    meta:
        description = "Detects Emotet malware traffic"
        reference = "https://malpedia.caad.fkie.fraunhofer.de/details/win.emotet"
    
    strings:
        $c2 = "hxxp://[a-z0-9]{10,15}\.[a-z]{2,3}/" ascii wide
        $payload = { 4D 5A 90 00 03 00 00 00 04 00 00 00 FF FF 00 00 }
        
    condition:
        filesize > 100KB and 2 of them
}

3. 异常行为规则

检测可能表明攻击尝试的异常网络行为：

rule UnusualDnsQuery: dns anomaly
{
    strings:
        $long_subdomain = /[a-z0-9-]{30,}\.[a-z0-9-]+\.[a-z]{2,3}/i
        
    condition:
        $long_subdomain and filesize < 1KB
}

规则部署与优化实践

规则文件配置

在Arkime配置文件中指定YARA规则路径：

[yara]
# 主规则文件路径
yara = /etc/arkime/rules.yara
# 启用快速扫描模式（减少内存占用）
yaraFastMode = true

性能优化建议

1. 规则分组：将规则按重要性和使用频率分组，通过配置文件选择性加载
2. 条件优化：复杂规则优先使用filesize等快速条件过滤，减少不必要的字符串匹配
3. 定期更新：通过arkime_update_geo.sh脚本自动化规则更新流程
4. 资源监控：使用Arkime的性能监控功能跟踪YARA扫描对系统资源的占用

规则维护与扩展

自定义规则开发规范

创建新规则时应遵循以下规范：

1. 元数据必填：每个规则必须包含description和reference元数据
2. 标签体系：使用统一的标签命名规范（如malware:emotet、protocol:ssh）
3. 性能考量：避免使用过长的字符串和复杂的正则表达式
4. 测试覆盖：为新规则添加对应的单元测试用例到tests/rules.yara

社区规则资源

Arkime社区维护了丰富的规则资源，可通过以下途径获取：

• 官方规则库：定期更新的基础规则集
• Contrib扩展：contrib/目录下的第三方贡献规则
• 威胁情报整合：通过wiseService/集成外部威胁情报源，自动生成YARA规则

常见问题与解决方案

规则不生效问题排查

1. 检查规则文件路径配置是否正确，确保服务有权限读取
2. 查看Arkime日志，通过arkime_yara_report_error()输出的错误信息定位语法问题
3. 使用yr_compiler_add_file()返回的错误码判断编译失败原因

性能瓶颈处理

当YARA扫描导致性能下降时：

1. 启用快速扫描模式：yaraFastMode = true
2. 拆分大型规则文件，仅加载必要的规则组
3. 优化规则条件，增加前置过滤条件减少扫描范围

总结与后续展望

YARA规则系统是Arkime威胁检测能力的重要组成部分，通过本文介绍的规则库和部署方法，用户可以快速构建起基础的网络威胁检测能力。未来Arkime计划增强以下功能：

1. 规则热更新机制，无需重启服务即可加载新规则
2. 基于机器学习的规则自动生成
3. 与Cont3xt模块深度集成，提供更丰富的威胁上下文信息

建议用户定期更新规则库并参与社区规则分享，共同维护一个强大的威胁检测生态系统。完整的规则集合和使用示例可参考项目README.md和官方文档。

提示：所有规则在生产环境使用前应进行充分测试，避免误报影响正常业务流量分析。