freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內容

ids入侵特征庫創(chuàng)建實例解析-在線瀏覽

2025-03-07 04:06本頁面
  

【正文】 P標準、設置了SYN和FIN標記的TCP數據包。異常報頭值的來源有以下幾種:  因為大多數操作系統(tǒng)和應用軟件都是在假定RFC被嚴格遵守的情況下編寫的,沒有添加針對異常數據的錯誤處理程序,所以許多包含報頭值的漏洞利用都會故意違反RFC的標準定義,明目張膽地揭發(fā)被攻擊對象的偷工減料行為。  并非所有的操作系統(tǒng)和應用程序都能全面擁護RFC定義,至少會存在一個方面與RFC不協調?! ∮捎谝陨蠋追N情況,嚴格基于RFC的IDS特征數據就有可能產生漏報或誤報效果。  非法報頭值是特征數據的一個非?;A的部分,合法但可疑的報頭值也同等重要?! ∷?、確定特征“候選人”  為了更好地理解如何開發(fā)基于報頭值的特殊數據,下面通過分析一個實例的整個過程進行詳細闡述。Synscan的執(zhí)行行為很具典型性,它發(fā)出的信息包具有多種可分辨的特性,包括:  不同的來源IP地址信息  TCP來源端口21,目標端口21  服務類型0  IP鑒定號碼39426(IPidentificationnumber)  設置SYN和FIN標志位  不同的序列號集合(sequencenumbersset)  不同的確認號碼集合(acknowledgmentnumbersset)  TCP窗口尺寸1028  下面我們對以上這些數據進行篩選,看看哪個比較合適做特征數據。以下是特征數據的候選對象:  只具有SYN和FIN標志集的數據包,這是公認的惡意行為跡象。  來源端口和目標端口都被設置為21的數據包,經常與FTP服務器關聯。“反身”端口本身并不違反TCP標準,但大多數情況下它們并非預期數值?! CP窗口尺寸為1028,IP鑒定號碼在所有數據包中為39426。  五、公布最佳特征“得主”  從以上4個候選對象中,我們可以單獨選出一項作為基于報頭的特征數據,也可以選出多項組合作為特征數據。例如一個簡單的特征可以是只具有SYN和FIN標志的數據包,雖然這可以很好地提示我們可能有一個可疑的行為發(fā)生,但卻不能給出為什么會發(fā)生的更多信息。但僅僅這些而已,我們需要的是更多的細節(jié)資料。盡管能夠精確地提供行為信息,但是比僅僅使用一個數據作為特征而言,會顯得遠遠缺乏效率。大多數情況下,簡單特征比復雜特征更傾向于誤報(falsepositives),因為前者很普遍;復雜特征比簡單特征更傾向于漏報(falsenegatives),因為前者太過全面,攻擊軟件的某個特征會隨著時間的推進而變化。例如,我們想判斷攻擊可能采用的工具是什么,那么除了SYN
點擊復制文檔內容
試題試卷相關推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號-1