《表1 Snort规则翻译结构体中各变量的取值描述》
Snort规则选项字段有很多,但其最主要的选项可以归纳为三个部分,即报文流向、网络层和传输层的头部字段以及报文的负载内容。其余更为详细的选项则是为了提高检出效率而设置的,而在构造恶意流量报文时只需关注每个字段的取值,因而这部分规则可以忽略。所以,对于Snort规则文件可以添加一步预处理工作,读取一条Snort规则,将关键规则选项翻译成结构体数组中的一个元素,以二进制格式文件单独存储,称为规则脚本文件。一个结构体数组元素就对应着一条Snort规则,存储的是一个攻击报文各字段取值的值域。该结构体的各变量及取值描述如表1所示。然后程序读取结构体,从各变量的值域中选取合适的值填写报文字段,构造一个攻击报文案例。
图表编号 | XD00187455800 严禁用于非法目的 |
---|---|
绘制时间 | 2018.01.25 |
作者 | 朱亚锋、程光 |
绘制单位 | 东南大学计算机网络和信息集成教育部重点实验室计算机科学与工程学院网络空间安全学院、东南大学计算机网络和信息集成教育部重点实验室计算机科学与工程学院网络空间安全学院 |
更多格式 | 高清、无水印(增值服务) |