IDS防火墙的安全威胁检测机制，为了真正理解ids，我们必须理解它能够探测到的安全威胁。

威胁可以分为攻击或滥用，它们可以在应用层使用网络协议或恶意内容。

 

1.网站攻击或滥用
 

攻击是一种未经授权的活动，恶意尝试利用巧尽心思构建的代码或技术。攻击包括拒绝服务、病

毒或蠕虫感染、缓冲区溢出、格式错误的请求、文件损坏、禁用网络数据包或未经授权的程序执

行。滥用是一种没有特殊代码的未经授权的活动。在这种情况下，攻击性的人通常使用精心设计

的传输或请求和授权级别进行恶意破坏。滥用也可能意味着意外的后果。无论如何检测警报，管

理员将所有警报分为四类：正确肯定(正确报告的重要事件)，错报(报告错误的无关紧要事件)，

正确的否认（被正确忽略的不重要事件），报告失败（一个不被正确忽视的重要事件）大多数id

用于从外部检测恶意攻击，但是企业内部也有检查来监视用户行为和违规行为。安全性调查常常

表明，内部滥用事件是缺少企业数据的主要原因，而ids工具可以跟踪内部恶意攻击（故意或无意

）或外部攻击。

 

 

 

 

2.网络协议攻击
 

ids开发网络协议（osi模型的第二层和第三层）检测到许多安全威胁。当信息在网络主机之间传

输时，高级应用程序（如ftp客户端、Web服务器和im聊天程序）发送的指令和数据被视为装载放

在离散容器中的内容（称为数据报或消息），然后从源地址编号并发送到目标。当数据包到达目

的地时，它们将重组并将内容传递给目标应用程序。网络协议定义了数据包的格式以及源和目标

之间的传输模式。恶意网络协议攻击干扰进程的正常运行。分段和重构攻击。攻击可以使用分段

偏移值将数据包重新组装成恶意数据包。如果id或防火墙允许切片，而且在检查前不会重组数据

包，则漏洞可能会被混淆。如今，大多数id、操作系统和防火墙都涉及碎片防御。

 

 

 

 

3.应用程序攻击
 

尽管网络协议攻击非常普遍，但大多数安全威胁都是使用主机应用层。在这种情况下，tcp/ip数

据包是合法构造的，但它们的数据加载包含恶意内容。应用程序攻击可能是利用操作系统或应用

程序漏洞的文本命令，也可能包含恶意内容，如缓冲区溢出漏洞、恶意构建的命令或计算机病毒

。应用程序攻击包括密码盗窃、跨站点脚本攻击、恶意网站、试图破译密码、根工具箱软件、非

法数据操作、未经授权的文件访问以及任何不依赖恶意网络数据包工作的攻击。内容模糊性和标

准，大多数id可以在网络包加载数据中查找已知的恶意命令或数据。ids数据库中逐字节的比较。

如果有内容匹配，则将其标记为事件。这是基于信号的入侵检测系统的原理。

 

 

 

您可以使用代码隐藏命令文本和数据以创建恶意消息。攻击者使用各种技术欺骗入侵检测系统

，包括使用标记代替空格、将小写值改为大写、长时间将数据分割成命令、隐藏参数、过早结束

请求、对几个不同数据包使用太长的网址以及使用文本分隔符。ids的特性数据库必须考虑所有

可以最终创建相同恶意模式的编码方法和技术。这项任务通常在检查前通过数据标准化来完成。

标准化将片段重新组装成整个包，将编码字符转换成ascii纯文本，纠正语法错误，删除冗余字

符，将索引标签转换成空格，删除常用的黑客技术，并尝试将数据转换成最终希望的形式。