《表1 Snort规则翻译结构体中各变量的取值描述》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于时空特性的恶意流量生成方法的研究与实现》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

Snort规则选项字段有很多，但其最主要的选项可以归纳为三个部分，即报文流向、网络层和传输层的头部字段以及报文的负载内容。其余更为详细的选项则是为了提高检出效率而设置的，而在构造恶意流量报文时只需关注每个字段的取值，因而这部分规则可以忽略。所以，对于Snort规则文件可以添加一步预处理工作，读取一条Snort规则，将关键规则选项翻译成结构体数组中的一个元素，以二进制格式文件单独存储，称为规则脚本文件。一个结构体数组元素就对应着一条Snort规则，存储的是一个攻击报文各字段取值的值域。该结构体的各变量及取值描述如表1所示。然后程序读取结构体，从各变量的值域中选取合适的值填写报文字段，构造一个攻击报文案例。