分享到:

3.5 网络入侵检测引擎

检测引擎是“魔法发生”之处。基于网络的检测引擎处理一系列具有序列号的TCP/IP分组,以便检测预先确定的序列号及模式(pattern)。这些模式就是标志 (signature)。可以从提高检测速度、可配置性两方面出发,以多种方式来实现引擎。网络标志大多数网络标志 (network signature) 是基于分组内容的,所以被称为分组内容标志(packet content signature)。也可以从分组首部及通信量的流向来检测模式,这样的话,检查分组内容的需求就减少了。... (本文共2629字) 阅读全文>>