freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

ids入侵特征庫創(chuàng)建實例解析-文庫吧資料

2025-01-24 04:06本頁面
  

【正文】 發(fā)生。  多也不行,少亦不可,完全應(yīng)由實際情況決定。實際上,特征定義永遠要在效率和精確度間取得折中?! ∵x擇以上4項數(shù)據(jù)聯(lián)合作為特征也不現(xiàn)實,因為這顯得有些太特殊了。SYN和FIN通常聯(lián)合在一起攻擊防護墻和其他設(shè)備,只要有它們出現(xiàn),就預(yù)示著掃描正在發(fā)生、信息正在收集、攻擊將要開始?! ∵x擇一項數(shù)據(jù)作為特征有很大的局限性。根據(jù)IPRFC的定義,這2類數(shù)值應(yīng)在數(shù)據(jù)包間有所不同,因此,如果持續(xù)不變,就表明可疑。例如在一個正常的FTP對話中,目標端口一般是21,而來源端口通常都高于1023。這種端口相同的情況一般被稱為“反身”(reflexive),除了個別時候如進行一些特別NetBIOS通訊外,正常情況下不應(yīng)該出現(xiàn)這種現(xiàn)象?! ]有設(shè)置ACK標志,但卻具有不同確認號碼數(shù)值的數(shù)據(jù)包,而正常情況應(yīng)該是0。我們要尋找的是非法、異常或可疑數(shù)據(jù),大多數(shù)情況下,這都反映出攻擊者利用的漏洞或者他們使用的特殊技術(shù)?! ynscan是一個流行的用于掃描和探測系統(tǒng)的工具,由于它的代碼被用于創(chuàng)建蠕蟲Ramen的開始片斷而在2001年早期大出風頭。例如,如果存在到端口31337或27374的可疑連接,就可報警說可能有特洛伊木馬在活動;再附加上其他更詳細地探測信息,就能夠進一步地判斷是真馬還是假馬。對此,RFC也隨著新出現(xiàn)的違反信息而不斷進行著更新,我們也有必要定期地回顧或更新存在的特征數(shù)據(jù)定義。  隨著時間推移,執(zhí)行新功能的協(xié)議可能不被包含于現(xiàn)有RFC中?! ≡S多包含錯誤代碼的不完善軟件也會產(chǎn)生違反RFC定義的報頭值數(shù)據(jù)。這種數(shù)據(jù)包被許多入侵軟件采用,向防火墻、路由器以及IDS系統(tǒng)發(fā)起攻擊。我感覺,前者適用于領(lǐng)導(dǎo)同志,后者需要具體做事者使用,宏觀加微觀,敵人別想遛進來!  三、首席特征代表:報頭值(HeaderValues)  報頭值的結(jié)構(gòu)比較簡單,而且可以很清楚地識別出異常報頭信息,因此,特征數(shù)據(jù)的首席候選人就是它。  特征的定制或編寫程度可粗可細,完全取決于實際需求?! 《⑻卣饔惺裁醋饔??  這似乎是一個答案很明顯的問題:特征是檢測數(shù)據(jù)包中的可疑內(nèi)容是否真正“不可就要”的樣板,也就是“壞分子克隆”。  另外請注意:不同的IDS產(chǎn)品具有的特征功能也有所差異?! 囊陨戏诸惪梢钥闯鎏卣鞯暮w范圍很廣,有簡單的報頭域數(shù)值、有高度復(fù)雜的連接狀態(tài)跟蹤、有擴展的協(xié)議分析?! ⊥ㄟ^對POP3服務(wù)器發(fā)出上千次同一命令而導(dǎo)致的DoS攻擊:通過跟蹤記錄某個命令連續(xù)發(fā)出的次數(shù),看看是否超過了預(yù)設(shè)上限,而發(fā)出報警信息?! 〔樵?
點擊復(fù)制文檔內(nèi)容
試題試卷相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1