java如何检测恶意数据包? 1 周,2 日 Questions & Answers 2652 我用Java实现了一个包分析器。现在我想检测捕获的数据包是否是恶意的。例如,如何使用Java代码检测DOS攻击?TCP数据包的合法大小是多少?如果数据包的大小超过了法定大小,那么该数据包是否会被视为恶意数据包
# 1 楼答案 你私下里有两个问题: 哪些事件序列会被归类为恶意事件 我如何检测这样一系列事件 如果没有多年的经验(或借鉴他人的经验),回答(1)是很困难的,正如克里斯蒂安·希伯拉斯(Christian Sciberras)所指
# 2 楼答案 测试evil bit 说真的,不幸的是没有捷径。这有点像问你如何在机场检查站发现恐怖分子 你需要阅读RFC,研究可能的攻击类型,并决定要尝试和检测哪种攻击;考虑到这些信息,找出如何检测任何特定类型攻击的机制应该很简单,如果你遇到问题,你可以在这里问一个更具体的问题 以下是一些帮助您入门的链接: IP datagram format Snort是一个入侵检测系统,即一个软件,它可以执行您正在尝试的操作:捕获流量并根据大量已知恶意模式对其进行检查。它是开源的:你可以通过查看源代码来了解它是如何工作的,也可以通过查看他们的数据库来了解它检查了哪些内容 与病毒检测一样,在这样一个项目中,构建一个足够大的恶意活动模式数据库是主要的困难/费用,这将决定你的工具是否有用。除了个人研究/自学这些工具的工作原理之外,生产一种对任何目的都有用的工具可能需要很多人年的时间。你最好的方法可能是利用现有的开放数据库,比如Snort,或者干脆把你的时间贡献给他们
# 1 楼答案
你私下里有两个问题:
如果没有多年的经验(或借鉴他人的经验),回答(1)是很困难的,正如克里斯蒂安·希伯拉斯(Christian Sciberras)所指
# 2 楼答案
测试evil bit
说真的,不幸的是没有捷径。这有点像问你如何在机场检查站发现恐怖分子
你需要阅读RFC,研究可能的攻击类型,并决定要尝试和检测哪种攻击;考虑到这些信息,找出如何检测任何特定类型攻击的机制应该很简单,如果你遇到问题,你可以在这里问一个更具体的问题
以下是一些帮助您入门的链接:
与病毒检测一样,在这样一个项目中,构建一个足够大的恶意活动模式数据库是主要的困难/费用,这将决定你的工具是否有用。除了个人研究/自学这些工具的工作原理之外,生产一种对任何目的都有用的工具可能需要很多人年的时间。你最好的方法可能是利用现有的开放数据库,比如Snort,或者干脆把你的时间贡献给他们