《表1 异常流量特征经验知识库示例》
典型的网络攻击或蠕虫病毒引起的流量,往往具有鲜明的特征,如震荡波蠕虫病毒攻击的端口是445端口,协议类型为TCP,字节数48,Ping of Death攻击发送大于65535字节的ICMP包[12]。对于这类异常流量,可以首先建立异常流量特征经验知识库,然后将获取的Net Flow数据进行简单聚合整理,通过与经验知识库的信息匹配,发现异常行为。表1为本系统的部分异常流量特征经验知识库,该表允许管理员动态添加和修改异常特征信息。
图表编号 | XD00111175200 严禁用于非法目的 |
---|---|
绘制时间 | 2019.10.28 |
作者 | 李师谦、张吉刚、王海涛 |
绘制单位 | 中国人民解放军32125部队、中国人民解放军32125部队、南京审计大学金审学院 |
更多格式 | 高清、无水印(增值服务) |