3.5 网络入侵检测引擎
检测引擎是“魔法发生”之处。基于网络的检测引擎处理一系列具有序列号的TCP/IP分组,以便检测预先确定的序列号及模式(pattern)。这些模式就是标志 (signature)。可以从提高检测速度、可配置性两方面出发,以多种方式来实现引擎。
网络标志
大多数网络标志 (network signature) 是基于分组内容的,所以被称为分组内容标志(packet content signature)。也可以从分组首部及通信量的流向来检测模式,这样的话,检查分组内容的需求就减少了。这些标志被称为通信量分析标志。专门介绍检测机制的第5章对此有更详细地说明。
要理解网络入侵检测标志,就必须对联网技术及协议有所了解。所有的商用产品和大多数研 ...... (共2780字) [阅读本文]>>