Snort-入侵检测系统规则集的优化
Snort规则集优化算法研究
1 三维链 表 的结构 分析
S ot n r 的规 则 主 要 分 成两 块 : 则 头 和 规 则 选项 。 以在 规 规 可
方式 , 结构化更 强 , 也更容易扩展。整个规则树如 图 2所示。
在进行入侵检测 的时候 , 如果发现 规则头 、 规则选项 都 匹
则头 中规定协议 , I 、 源 P 目的 I P地址范 围, 口和 日志类 型。 端 如
进: 先将规则通过 动作 来划分成 五类 , 每类 动作再根 据协议划
分成 四类 , 分别是 I 、 C 、 D P T P U P和 I MP C 。而每类协议下面 , 再
通 过规 则 头 的特 征进 行 分 类 。 类 规 则 头 叉 指 向 了对 应 的所 有 每
规则节点 , 从而构建 出一个 三维 的规则链 表树 , 采用这一 组织
了规则 的协议特征。所 以, 我们 可以把特殊 的协议 从规 则头 中
单 独地提取 出来并且对 这些规则进行 合理 的分 类组织 。 目前 S ot n r的检测 引擎仅仅支持 T PI C/ P协议 , 这也使得这样 分类 实
捕雠 序H ∞ . : >
包解码器
t
现起来相对简单 。我们 在匹配一个数据包时 , 以先找 出其协 可 议, 然后进入相应 的规则链表人 口。 大多数相同协议 的规则 , 它 们 的规 则头都是相 同的或者是相 近的 ,比如一类 F P的攻 击 T
效的途径就是进行 规则 的分类 。在每个进入 检测引擎 的数 据
个包的一个方面进行简单 的检验 以检测入侵。 最后 一个 组件是
输出插 件 , 它对可疑行为产生警 报。图 1 S ot 是 n r 抓包数据 流
程示 意 图 。
SNORT规则匹配算法改进
(. u zo gUnvri f c n ea dT c n lg, h n 3 0 4 1 H ah n i s t o i c n e h ooy Wu a 4 0 7 ; e y Se 2 Lba f hj n c a nvri , h u hn 3 6 0 ; . irr o ei gO enU ies y Z o sa 0 4 y Z a t 1
Jn .0 7 u e, 0 2
文 章编 号 : 0 8 8 0 (0 70 — 2 5 0 1 0 — 3 X 2 0 )2 0 1 — 4
・
研究简报・
S O T规 则 匹配算法改进 N R
王
f. 1 华中科技大学计算机学院 , 湖北武汉
猛 , 一 .王 小 双
407; . 30 4 2 浙江海洋学 院图书馆 , 浙江舟山 3 6 0 ; 1 04
3 Mahma c h s s& Ifr ai olg f hj n c a nv r t, hu hn 3 6 0 , hn ) . t e t s yi i P c nom t nC l eo e a gO enU ie i Z o sa 1 0 4 C ia o e Z i sy
T e c mp r o ft e o gn ls s m i h mp o e n h we h tt e s e d o e lt ri f s rt a h o a s n o r i a y t w t t e i r v d o e s o d t a h p e ft a t s a t h n i h i e h h e e t e fr r a d wh n t e c re t slr e t e l s f a k g a e r d c d o vo sy h o me , n e h u r n a g , h o so c a e c n b e u e b iu l . i p Ke r s d t ci n e g n ; a tr t h n ; n a i n d t c in ag r h y wo d : e e t n i e p t n ma c i g i v so ee t ; l o t m o e o i
基于Snort入侵检测与防御系统的优化策略
1 基于 S n o r t 入侵 检 测 与 防御 系统 的性 能 瓶 颈
S n o r t 系统 主要有 数据包 嗅探器 、 包 预处理器 、 检测 引擎 、 报警/E t 志 等几个模 块 组成 , 整个 系统采 用一 种 易于扩充 的模块 化体 系结 构 , 开发 人员 可 以加 入 自己编 写 的模 块 来扩 展 或改 进 S n o r t 的功 能 , 以提高 系统 的
性 能.
通 过研究 分析 在基 于 S n o t 的开 源入侵 检测 和 防御 系统 中 , r 主要 性 能瓶 颈集 中在 以下两 个 方面 : 即数据 包 的嗅探 捕获 及检测 规则 ( R u l e ) 的匹配 .
收 稿 日期 : 2 0 1 3一【 ) 4一 O 6 .
作者简介 : 白
第3 O卷
第 4期
吉
林
建
筑
大
学
学
报
V o 1 . 3 O No . 4
Au g . 2 01 3
2 0 1 3年 8月
J o u r n a l o f J i l i n J i a n z h u U n i v e r s i t y
基于 S n o r t 入 侵 检测 与 防御 系统 的优 化 策 略
中图分类号 : T P 3 9 1
文献标志码 : A
文章编号 : 1 0 0 9— 0 1 8 5 ( 2 0 1 3 ) 0 4—0 0 6 8— 0 3
Op t i mi z a t i o n Re s e a r c h Ba s e d o n S n o r t I n t r u s i o n De t e c t i o n a n d De f e n s e S y s t e m
SNORT规则集匹配的优化策略研究
计算机与信息科学系 。 广西
2 .济南市科学技术信 息研 究所 ,山东
济南
20 0 5 0 1 l
[ 摘
要 ] S O T作为 一种 受人 关注的开源 N D NR I S系统, 为入 侵检测 系统 的研 究提供 了很好 的平 台. N R SO T
采用基 于规 则匹配的入侵检 测方法 , 其规 则集 大小与 匹配算法执 行的频度 直接 影响着 系统的性 能 .分析 S O T N R 系统 的工作原理及其规 则结构, 讨规则集 匹配的优 化策略 , 出基 于双活跃度链表 的工作方式 , 探 提 并通过 实验证 明
智 能、 网络 安全 . ,
[ 基金项 目] 20 0 8年 “ 引进人才科研启动费” 资助项 目(0 8 S 0 5 . 20 Q —N 0 )
O 引言
S O T是一 种 开源 R 轻 轻 是指 在检 测 的时候对 网络 的正常 工
作影 响很 低 . 本 质上讲 ,O R 从 S N T的过 滤 机制 是 基 于 规则 匹 配 的 , 即针 对 每一 种 人 侵 行 为 , 炼 出它 的特 提 征 , 按规 则 编写规 范形 成检 测规 则 , 人规 则库 , 并 置 然后 在 网络上 捕获 数据 包 , 其 与规则 库 中规则进 行一 一 将
该 方 式 的有 效 性 .
【 关键 词] S O T; 则集优化 ; NR 规 活跃度
[ 中图分类 号】 T 3 30 P 9. 8 [ 文献标识码 ] A [ 文章编号 ]6 2— 0 1 2 1 )5— 02— 5 17 9 2 (0 0 0 0 6 0
[ 作者简介 ] 任 贤( 9 3一) 女 , 18 , 湖南 汨罗人 , 河池学院计算机 与信息科 学系教 师, 硕士 , 主要研 究方 向: 计算
基于Snort的入侵检测规则匹配技术研究
该 方 法 的 一
大 优 点 是 只需 收 集 相 关 的数 据 集 合 ,从 而 显 著 地 减 轻 系 统 负 担 ,且 技 术 己经 相 当成 熟 。它 与病 毒 防 火墙 采 用 的方 法 一 样
,
检 测 准 确 率 和 效 率 都 相 当 高 。 但 是 ,该 方 法 存 在 的 弱 点 是 需 要 不 断 地 升 级 以 对 付 不 断 发现 的 黑 客 攻 击 手 法 ,不 能 检 测 到 从 未 出现 过 的黑 客攻 击 手 段 。 通 过事 件 的定 义 ,我 们 可 以 分 析 I DS对 事 件 的检 测能 力 也 可 以判 断 I DS开 发 者对 入 侵 技 术 的 理 解 实 力 ,从 另一 方 面
,
、
研 究课 题 。该 文从 I S检 测 规 则 的规 则 匹 配技 术展 开 D
并以 网络入侵检 测 系统 为例 ,介 绍 了几种 不同类型规则 匹配
。
.
技术 ,并对开放源码的 网络入侵检 测 系统_ S0 2 6进行 了详细 的检测规则 分析 -nr . t 关键词 入侵检 测 规 则匹配 So nr t
并
以 网络 入 侵 检 测 系统 为 例 , 出 了 几种 不 同类 型 规 则 的 基 本 给
来 提 高 匹 配 的 效 率 , 或 者 有 的 提 供 命 令 解 释 器 来模 拟 某 些 协 议 的 命 令 语 法 ,这 样 来 提 高 I DS的 反 躲 避 能 力
。
概 念 , 同时 介 绍 如 何 用逆 向推 理 的 方法 来 判 断 I DS的 规 则 定
用 跟 开 放 的 S o t 样 的 包规 则 匹配 技 术 。 nr一 本文对 I DS的 检 测 规 则 分 析 从 包 规 则 匹 配 技 术 开 始
高效的Snort 规则匹配机制
高效的Snort规则匹配机制胡大辉1, 2,刘乃琦1(1.电子科技大学,四川成都610054;2.西南大学,重庆402460)摘要:该文在分析了Snort的规则及其检测过程的基础之上,提出一种动态规则匹配机制,增加选项索引链表,对规则匹配的次序进行动态调整,从而提高规则匹配的速度。
关键词:Snort 规则匹配规则树规则选项Efficient Mechanism of Rule-matching in SnortHU Da-hui1, 2, LIU Nai-Qi1(1.University of Electronic Science and Technology of China,Chengdu Sichuan 610054, China2. Southwest University, Chongqing 402460,China)Abstract:Based on the analysis of Snort’s rule and detecting procession, this paper puts forward adynamic rule-matching mechanism. In order to adjust the sequence of rule-matching dynamically, it adds a chain of the option index. As a result, it increased the rule- matching speed effectively.Key Words:Snort Rule-matching RuleTree RuleOption1.引言计算机及网络的飞速发展给人们带来极大便利,同时,由于计算机病毒和黑客的出现,对计算机及网络的安全构成了极大的威胁和破坏性。
如今,网络安全问题越来越受到人们的关注,传统的网络安全技术以防护为主,即采用以防火墙为主体的安全防护措施。
浅析轻量级入侵检测系统Snort的工作模式、总体系统架构与规则分析
一
维普资讯
TCNLG HO Y E O m
段 的P e ar s
R l0D 。 u 6r e
中被 调用. 辅助 完成基 于规 则的 匹
配 过 程。 每 个规则 处
理 函 数 通 常 对 应 规
则选项 中
的 一 个 关 键 宇, 现 实 对 这 个 关
者适时报警。
数据 包捕获和解码子 系统 、 检测 引擎、 目
志/ 报警子系统 、 预处理析、 内容的搜索/ 匹
配 。 在S ot 现 nr 能够 分析的协议 有T P、 P C UD 和
S 总 n 体结构中的各模块可以tS a 件 e r ̄
测 系统, 它能够检测各种不 同的攻击方式 , 对 说 , 最新 的规 则包 文件包 括 了对 缓冲 区溢 其 攻击进行实时报警。 此外 , n r 有很好的扩 出, 口扫描和C 攻击等种类。 S ot  ̄ J 端 GI 展 性和可移植性。 这个软件遵循通用公共许可 证GP , 以只 要遵 守GP 任何组织和个人都 L所 L 可以自由使用。 S ot nr 具有 实时流量分析和 日志J P网络数 1S ot .n r 总体结构 S ot nr 系统总体上是由规则集及S ot nr 可执
现在 已经 出现 了很多商业的入侵检测 系 作系统 的依赖性比较低。 它的分发源码文件压 统。 但是它们大多配置 和操作比较复杂和难 以 缩包大约只有 1 K , 0 B 在一台一般 性能的计 算 O 掌握 , 而且比较 昂贵 。 一般 的用户 无法承受 , 因 机上编译安装时大约只需几分钟 的时间 , 另外 此 它们在 市场 上面 临着强 劲的对 手:S 。 配置激活大约也只需要十几分钟的时间 。 n 安装
据包的 能力, 能够快速地 检测网络攻击 。 时 行程 序 两 大 部 分 构威 。 及 地发出报警。 n r的报 警机 制很丰富, So t 例如 :
snort入侵检测实验报告
snort入侵检测实验报告Snort入侵检测实验报告引言:网络安全是当今信息社会中至关重要的一个方面。
随着网络的普及和应用,网络攻击事件也日益增多。
为了保护网络的安全,及时发现和阻止潜在的入侵行为变得尤为重要。
Snort作为一种常用的入侵检测系统,具有广泛的应用。
本文将介绍我所进行的一项Snort入侵检测实验,包括实验目的、实验环境、实验步骤和实验结果等内容。
实验目的:本次实验的目的是通过使用Snort入侵检测系统,对网络中的入侵行为进行检测和防范。
通过实践操作,深入了解Snort的工作原理、规则配置和日志分析等方面,提高网络安全防护的能力。
实验环境:本次实验使用的环境为一台基于Linux操作系统的服务器和一台Windows客户端。
服务器上安装了Snort入侵检测系统,并配置了相应的规则集。
客户端通过网络与服务器进行通信。
实验步骤:1. 安装Snort:首先,在服务器上下载并安装Snort软件包。
根据操作系统的不同,可以选择相应的安装方式。
安装完成后,进行基本的配置。
2. 配置规则集:Snort的入侵检测基于规则集,规则集定义了需要检测的入侵行为的特征。
在本次实验中,选择了常用的规则集,并进行了适当的配置。
配置包括启用或禁用某些规则、设置规则的优先级等。
3. 启动Snort:在服务器上启动Snort服务,开始进行入侵检测。
Snort将监听服务器上的网络接口,对通过的数据包进行检测和分析。
4. 发起攻击:在客户端上模拟入侵行为,发送特定的数据包到服务器。
这些数据包可能包含已知的入侵行为的特征,或者是一些常见的攻击方式。
5. 分析日志:Snort将检测到的入侵行为记录在日志文件中。
通过分析日志文件,可以了解到入侵行为的类型、来源IP地址、目标IP地址等信息。
根据这些信息,可以进一步优化规则集,提高入侵检测的准确性。
实验结果:在本次实验中,通过Snort入侵检测系统成功检测到了多种入侵行为。
其中包括常见的端口扫描、ARP欺骗、DDoS攻击等。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Snort-入侵检测系统规则集的优化陈金柱1李逸波2朱乾坤3(1.海军航空工程学院学员旅,山东烟台,264001;2.海军航空工程学院自动控制系,山东烟台,264001;3.海军航空工程学院网络中心,山东烟台,264001)摘要:随着网络的发展,入侵检测系统将成为一个重要瓶颈。
本文根据TCP/IP协议的特点对Snort-入侵检测系统规则集进行了优化设计。
关键词:Snort,入侵检测系统,规则集0 引言入侵检测系统(IDS)从计算机网络系统的若干关键点收集信息(如系统日志、审计数据和网络数据包等),然后通过分析这些信息来判断网络系统中是否有违反安全策略的行为和是否存在攻击。
入侵检测依赖于两个假设:①用户和程序的活动是可以观察的。
例如:系统审计机制。
②正常活动和入侵(异常)活动有截然不同的行为。
异常的活动被标识为入侵。
入侵检测系统有多种分类。
根据检测方法,入侵检测分为两种类型①:误用检测(misuse detection)和异常检测(anomaly detection)。
误用检测是将已知的攻击方式以某种形式存储在知识库中,然后通过判断知识库中的入侵模式是否出现来实施检测,如果出现,说明发生了入侵。
该方法的优点是检测准确率较高,缺点是只对已知攻击类型和已知系统安全漏洞进行检测。
而异常检测是指将用户正常的习惯行为特征存储到特征数据库中,然后将用户当前行为特征与特征数据库中的特征进行比较,若两者偏差足够大,则说明发生了异常。
这种方法的优点是能检测未知的攻击类型,缺点是误检率较高。
根据检测的数据源,入侵检测系统可以分为基于主机的入侵检测系统和基于网络的入侵检测系统。
基于主机的入侵检测系统是通过分析审计数据和系统日志来发现可能的入侵。
基于网络的入侵检测系统是通过分析网络数据包来检测可能的入侵。
下面介绍一个免费的轻量级的入侵检测系统——Snort。
1 Snort入侵检测系统Snort是一种基于网络的入侵检测系统,通过误用检测规则来检测攻击。
Snort规则就是使用“一种简单的、轻量级的描述语言”来描述网络上带有攻击标识的数据包。
Snort规则文件是Snort的核心,是Snort的攻击知识库。
如果只有Snort的可执行程序,而没有规则文件,那么Snort就不能真正实现入侵检测功能,即不能识别任何攻击。
Snort规则在逻辑上分为两部分:规则头(Rule Header)和规则选项(Rule Option)。
规则头定义了规则的行为、所匹配网络包的协议、源地址、目标地址及其网络掩码、源端口和目标端口等信息;规则选项则包含了所要显示给用户查看的警告信息以及用来判定此数据包的其他信息(如:tcp的flags字段,数据字段的内容等)②。
下面是一个简单的规则:alert tcp any any ->192.168.1.0/24 111(content:“|00 01 86 a5”|;msg:“mountd access”;)上例中,括号左边部分为规则头,括号里面部分为规则选项,规则选项中冒号前的部分称为选项关键字(Option Keyword),这里需要注意的是规则选项并不是任何规则都必需的,它只是用来明确地定义表示的是某种攻击、需要采取某种行为(如警告等)。
只有当组成规则的各个元素都为真时才能触发相应的操作。
综合起来考虑,规则里限制数据包的各元素的关系是逻辑与;同时规则库中的各条规则之间的关系可以被认为一个大的逻辑或(进行逻辑或操作的各元素只要有一个为真时,整个表达式即为真)。
如图1,所有规则按照规则头排列成主链,然后根据规则选项把规则插入到这个链表中,构成规则集,这样每一个选项节点就对应一条规则。
规则头节点主要记录了规则头信息,包括源IP/端口、目标IP/端口,并用指针指向下一个规则头节点、附属于它的规则选项列表和规则头列表结构。
规则选项节点存放所有规则选项的信息和处理插件的处理函数列表(option function),分别指向规则头节点的指针和关联选项节点的指针。
图1 规则集Snort就是这种基于规则匹配的网络入侵检测系统。
而规则是根据源IP、目标IP、源端口范围和目标端口范围等属性分类组织成为规则集的。
这样,当一个数据包被检测时,Snort检测每个规则集的上述四个参数以决定是检测该规则集还是转移到下一个规则集。
如果数据包与规则集的四个参数相匹配,该规则集中的规则依次得到检测,并且每条规则中的其余的参数也按顺序检测。
当该规则集中的所有规则被检测完以后,接着搜索下一条规则集中的四个参数,检测过程重新开始。
每一个数据包都必须经过从头到尾的匹配过程。
这样,入侵检测就是把从网络上捕获的数据包和规则集进行匹配的过程。
如果存在一条匹配该数据包的规则,就表示检测到了攻击,然后按照规则所指定的行为进行处理(如警告等);如果搜索完所有规则集都没有找到匹配的规则,就认为该数据包正常。
通常,当规则数量很少时,上述检测方法是很高效的。
可是,当规则集中有很多条规则时,标准检测方法会变得非常低效。
规则检测速度变慢,是由于每个数据包都必须检测每条规则集中的各个参数。
然而,根据规则集的结构和匹配过程的分析可知,许多匹配过程是根本不需要的,存在许多可优化的地方。
另外,随着目前网络带宽的不断加大,IDS将成为网络带宽的一道瓶颈,入侵检测系统规则集的优化将给入侵检测系统的提供了更大的机遇。
2规则的优化为了提高规则检测的处理速度,需要使用基于规则集检测方法。
规则优化器必须进行规则集的构造和选择。
2.1规则集的构造使用规则优化器构造规则集对基于规则集检测方法是必要的。
规则优化器必须满足两个要求:(1)尽可能构造最小的、最高效的规则集;(2)构造离散化的规则集。
这样,使得每个数据包仅需搜索一个规则集。
在初始化阶段,规则优化器利用最具独立性的Snort规则参数来构造规则集。
因为每类传输协议有让其独立的不同参数,所以所选的规则参数对于不同传输协议是不同的。
例如:TCP规则集可以根据源端口和目标端口来区别于其它的TCP规则集,而ICMP规则集可以根据该规则的ICMP类型加以区别。
规则优化器利用具有独立性的参数构造规则子集。
这样使得多规则检测引擎所需检测的规则集更小。
更重要的是,它允许根据数据包的特征让其分别通过相应的规则子集。
2.2规则集的选择当Snort运行时,规则优化器为每个数据包选择一个规则集。
规则集的选择依赖于收到的数据包的一些参数和规则集中参数的匹配结果。
这样,规则优化器只选择那些能匹配该数据包的规则并且只过滤多规则搜索引擎需要处理的规则。
此后多规则搜索引擎可以进一步通过基于规则集的检测方法检测内容③。
对于一些异常数据包,有可能会选择两个规则集,这种情况称为“独立冲突”。
3规则优化器的实际应用规则优化器根据传输协议的独立参数把规则分成可定义的、小规则集,以提高Snort检测速度。
经分析,源端口、目标端口可作为TCP/UDP数据包的独立参数;ICMP类型可作为ICMP数据包的独立参数;传输协议ID可作为IP 独立参数。
下面将分别给予介绍:3.1 TCP/UDPTCP/UDP协议中最独立的属性是源端口和目标端口。
通常情况下端口有两种类型:保留端口号和非保留端口号。
这意味着主机之间大部分通讯有一个保留端口(通常是服务器端)和另一是非保留端口(大于1024且通常是客户端)。
该属性允许规则优化器使用保留端口作为独立参数。
大家都知道,TCP/UDP在客户和服务器之间是双向通讯的。
也就是,Snort所检测的数据包是从客户到服务器和从服务器到客户的。
因此不必应用所有规则到客户通讯和服务器通讯的每一个数据包。
规则优化器根据独立端口位于源端口或还是位于目标端口来对规则分组。
如果独立端口位于源端口,通常数据流来自服务器,选择服务器响应规则。
而当独立端口位于目标端口时,通常数据流来自客户端,选择客户请求规则。
如果源端口和目标端口都是非保留端口时,这样情况的比较少,使用通用规则对其进行处理。
如图2所示。
图2 TCP/UDP规则的细化可是,当源端口和目标端口都是保留端口,需要检测多个规则集,出现了独立冲突。
独立冲突可分为两种类型:已定义独立冲突和未定义独立冲突。
已定义独立规则出现是很正常的,未定义独立冲突很少发生,而当它发生时可能是恶意或异常事件。
对于已定义独立冲突通过检测由两个合法独立规则集合并而成的一个已定独立冲突规则集加以处理。
一个合法的独立冲突的例子是在服务器之间DNS查询中。
此时,两个端口号都是53,那么应该用哪一个规则集来处理这种数据包?应该是两个。
这种情况下,合法独立冲突通过协议加以定义,把处理源端口和目标端口都为53的DNS查询规则合并,并加入到已定义独立冲突规则中。
当未定义的独立冲突发生时,也同样需要检测多个规则集。
仿效已定义的独立冲突的处理那样处理所有的未定义独立冲突产不可能,因为地址空间太大。
例如,如果有1000个独立的源端口和1000个独立目标地址规则集,这样将有1000000个独立冲突端口规则集。
考虑到一个规则集需要的存储器,这是不现实的。
现在,依赖于用户所需要的性能,未定义的独立冲突有三种处理的方法:双重检测、首先命中检测和随机检测。
(1)双重检测双重检测是处理未定义独立冲突的最基本类型。
既然对应一个未定义独立冲突对两个规则集,双重检查就检查两个规则集,大约花两倍的检查时间。
双重检测保证发现一个数据包中的所有事件,但是,这种方法更容易通过构造引起未定义独立冲突的数据包来强制双重检查而导致拒绝服务(DoS)攻击。
(2)首先命中检测首先命中检测方法类似于双重检查方法,因为它也检查两个规则集。
不同的是如果事件发生在首先被检测的第一个规则集中,那么第二个规则集将不检测。
如果在第一规则集有一个产生的事件,这相对于双重检测来说能改善性能。
(3)随机检测随机检查方法随机选择两个规则集中的一个。
通过用这种方法,它阻止由于未定义独立冲突引起的DOS攻击。
但是这也不能保证发现所有的事件。
在三种不同的检查方法中,首先命中检查方法是一种中间方案。
它有助于阻止由于双重检测方法而导致的DoS 攻击,也可以产生为对每个未定义独立冲突(如果可能)产生事件。
但是,它不能保证像随机方法不可能产生DoS 攻击,也不能保证像双重检查方法被发现所有事件。
3.2 ICMPICMP规则只用ICMP类型域来优化ICMP规则集。
没有类型域的规则被认为是通用ICMP规则并且被加到规则集后面。
这样,当ICMP类型的某类数据包到来时,使用相应类型的规则进行处理,没有类型域则使用通用规则加以处理。
例如,类型代码8(回显请求)的ICMP数据包把类型代码8作为参数选择类型8的规则集加以检测,而不需要检测其它规则。
如图3所示。
图3 ICMP 规则的细化3.3 IP规则优化器使用IP 传输协议域作为独立参数来对IP 协议进行优化。