infrasecmcb/MALAK-rules

# MALAK Sentinel — AI 生成的 Suricata 规则 由 **MALAK Sentinel** 威胁情报管道生成的，并经过社区审查的 Suricata 检测规则。 ## 这是什么？ MALAK Sentinel 是一个自动化的 CVE 到规则的管道： ``` CISA KEV / NVD → A-Hunt (Kimi/Claude LLM draft) → A-Forge (qwen2.5:7b contextualise) → A-Test (suricata -T validation) → Production ``` 本仓库中的每条规则： - 仅根据公开的 CVE 数据由 LLM 起草 - 在 **Suricata 8.0.4** 上通过了 `suricata -T` 语法验证 - 已在被动 TAP 传感器上的生产环境中运行 ## 规则 所有规则均位于 [`rules/`](rules/) 目录中，每个 SID 对应一个文件。 | SID 范围 | 数量 | 备注 | |-----------|-------|-------| | 1000001–1001321 | 79 | AI 生成的生产规则 | ## 欢迎反馈 如果您发现问题或有改进建议： - **Twitter/X**：带上 `#Suricata #MALAK` 标签发布您建议的规则并艾特我们 - **GitHub**：在此仓库中提交 issue 或 PR - **将您的规则粘贴**到我们的 [AI 规则导出页面](https://malak.malakoff.com.my:8443/rule-gist) —— 它将通过 `suricata -T` 进行语法检查，并在部署前排队等待分析师审查 ## 规范 - **SID 范围**：`1000000–1999999`（MALAK 保留） - **Sticky buffers**：Suricata 7/8 风格（`http.uri`、`http.request_body`、`dns.query` 等） - **`detection_filter`**：用于宽泛的 PCRE 规则以抑制 FP 噪声 - **`malak_origin a_forge`**：规则主体由 A-Forge (qwen2.5:7b) 生成 - **`source: a_forge`**：规则经过了完整的 AI 管道 ## 贡献 通过导入页面提交的建议规则将经过以下流程： 1. `suricata -T` 语法检查 —— 如果失败则立即拒绝 2. 在 MALAK 规则候选队列中进行分析师审查 3. 在晋升到生产环境之前，有 48 小时的稳定窗口期 ## 许可证 规则在 [CC0 1.0](https://creativecommons.org/publicdomain/zero/1.0/) 下发布 —— 属于公共领域，无需署名。

标签：A-Forge, A-Hunt, AI安全, A-Test, Chat Copilot, CISA KEV, CISA项目, Claude, Claude, CVE检测, CVE检测, DLL 劫持, IDS规则, Kimi, LLM, Metaprompt, NVD, qwen2.5, Suricata, TAP传感器, Unmanaged PE, 云计算, 信安, 大语言模型, 威胁情报, 开发者工具, 现代安全运营, 社区审核, 网络安全, 网络流量分析, 自动化防御, 规则引擎, 规则生成, 逆向工具, 速率限制, 隐私保护