红色枫叶 2007-12-6 17:49
Juniper IDP入侵检测方法——常规表达式匹配
[font=宋体][size=12pt]精确度不仅受系统采用的检测方法类型的影响,而且也受系统对攻击模式的定义和找寻方法的影响。有些系统对固定的模式进行定义和寻找。这种方法的效率极其低下,因为很多攻击签名可以以不同的排列形式而存在。理想的检测方法是常规表达式的模式匹配方法[/size][/font][size=12pt][font=Times New Roman](pattern matching using regular expressions)[/font][/size][font=宋体][size=12pt]。常规表达式提供了通配符和复杂模式匹配,对攻击能勾画出更精确的表达性。常规表达式一般也对系统行为的控制提供了灵活性。比如,为了寻找一个带有可执行的附件的电子邮件的信息,一个[/size][/font][size=12pt][font=Times New Roman]NIDS[/font][/size][font=宋体][size=12pt]必须这样寻找模式:[/size][/font][size=12pt][/size]
[size=12pt][font=Times New Roman]Name=“[/font][/size][font=宋体][size=12pt]〈[/size][/font][size=12pt][font=Times New Roman]some-name[/font][/size][font=宋体][size=12pt]〉[/size][/font][size=12pt][font=Times New Roman].EXE”[/font][/size]
[font=宋体][size=12pt]而[/size][/font][size=12pt][font=Times New Roman]Some-name[/font][/size][font=宋体][size=12pt]可能是任何有效的文件名。[/size][/font][size=12pt][/size]
[font=宋体][size=12pt]问题是[/size][/font][size=12pt][font=Times New Roman]“=”[/font][/size][font=宋体][size=12pt]符号可在任何或多个间隔和制表符的之前或之后。如,模式应该与[/size][/font][size=12pt][font=Times New Roman]‘name = “run-me.ExE”’[/font][/size][font=宋体][size=12pt]匹配。[/size][/font][size=12pt][font=Times New Roman] [/font][/size][font=宋体][size=12pt]一般的[/size][/font][size=12pt][font=Times New Roman]NIDS[/font][/size][font=宋体][size=12pt]并未配置常规表达式机制,因此无法辨明在[/size][/font][size=12pt][font=Times New Roman]“=”[/font][/size][font=宋体][size=12pt]符号前后会有任何间隔和制表符的数目,而只能寻找[/size][/font][size=12pt][font=Times New Roman]“=”[/font][/size][font=宋体][size=12pt]周围没有间隔的[/size][/font][size=12pt][font=Times New Roman]“[/font][/size][font=宋体][size=12pt]标准[/size][/font][size=12pt][font=Times New Roman]”[/font][/size][font=宋体][size=12pt]情形。攻击者可以在[/size][/font][size=12pt][font=Times New Roman]“=”[/font][/size][font=宋体][size=12pt]符号前后增加间隔和制表符,发送一个被感染的可执行病毒,而当[/size][/font][size=12pt][font=Times New Roman]NIDS[/font][/size][font=宋体][size=12pt]没有签名常规表达式或匹配的情况下,更可隐藏攻击。[/size][/font][size=12pt][/size]
都是一样 2007-12-7 09:14
楼主说得很对的,我正缺少这方面的知识啊, 谢谢楼主分享
