IDS要有效地捕捉入侵行为,必须拥有一个强大的入侵特征数据库,这就如同公安部门必须拥有健全的罪犯信息库一样。但是,IDS一般所带的特征数据库都比较死板,遇到“变 脸”的入侵行为往往相逢不相识。因此,管理员有必要学会如何创建满足实际需要的特征数据样板,做到万变应万变!
IDS中的规则(特征)就是指用于判别通讯信息种类的样板数据,通常分为多种,以下是一些典型情况及识别方法:
1、来自保留IP地址的连接企图:可通过检查IP报头(IP header)的来源地址轻易地识别。
2、带有非法TCP 标志联合物的数据包:可通过对比TCP报头中的标志集与已知正确和错误标记联合的不同点来识别。
3、含有特殊病毒信息的Email:可通过对比每封Email的主题信息和病态Email的主题信息来 识别,或者,通过搜索特定名字的附近来识别。
4、查询负载中的DNS缓冲区溢出企图:可通过解析DNS域及检查每个域的长度来识别利用DNS 域的缓冲区溢出企图。
5、通过对POP3服务器发出上千次同一命令而导致的DOS攻击:通过跟踪记录某个命令连续发出的次数,看看是否超过了预设上限,而发出报警信息。
6、未登录情况下使用文件和目录命令对FTP服务器的文件访问攻击:通过创建具备状态跟踪 的特征样板以监视成功登录的FTP对话、发现未经验证却发命令的入侵企图。
从以上分类可以看出特征的涵盖范围很广,有简单的报头域数值、有高度复杂的连接状态跟踪、有扩展的协议分析。
.....................
以上是一部分介绍,如需要完整的资料或者如不符合您的要求,请联系技术人员qq:242219979咨询
上一篇:php实现的subversion用户管理系统
下一篇:vc++实现的反弹端口木马