入侵检测系统规则分析及其创建研究(2)
说明:文章内容仅供预览,部分内容可能不全,需要完整文档或者需要复制内容,请下载word后使用。下载word有问题请添加微信号:
xuecool-com或QQ:
370150219 处理(尽可能给您提供完整文档),感谢您的支持与谅解。
接着开始写规则头。规则实现的功能应该可以对来自任何外部源、任何端口输入的,目的为Web服务器的HTTPS端口(443),且满足攻击特征的TCP流量进行报警,所以规则头可写为:
alert tcp $EXTERNAL_NET any->$HOME_SERVERS 443,
加上报警消息和版本号后,规则选项为:
(msg:”Slapper attack”;flow:to_server,established;content:”export.TERM=xterm; exec bash –i”;nocase;priority:1;rev:1)
联接规则头和规则选项,完成规则如下:
Alert tcp $EXTERNAL_NET any->$HOME_SERVERS 443(msg:”Slapper attack”; flow:to_server,established;content:”export.TERM=xterm; exec bash –i”; nocase; priority:1; rev:1)
至此就完成了监控Slapper蠕虫的规则。显然,利用流量分析的方法创建新规则,其工作重点在于识别含有确切攻击的正确数据包,并从中找出区别于其他攻击的唯一特征。
百度搜索“70edu”或“70教育网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,70教育网,提供经典计算机入侵检测系统规则分析及其创建研究(2)在线全文阅读。
入侵检测系统规则分析及其创建研究(2).doc
将本文的Word文档下载到电脑,方便复制、编辑、收藏和打印
下载失败或者文档不完整,请联系客服人员解决!
