超级会员免费看
Ourmon:异常检测工具深度解析
1. 引言
在探索高级IRC工具之前,我们有必要先了解Ourmon中可用的一系列基础异常检测工具,包括TCP、UDP和电子邮件相关工具。研究这些异常检测工具具有多方面的重要意义。一方面,后续的IRC僵尸网络检测系统会用到本章介绍的TCP端口报告;另一方面,异常检测有可能发现并非僵尸网络一部分的受感染系统。此外,虽然目前很多僵尸网络使用IRC进行通信,但未来并不一定局限于此,它们可能会采用其他协议,如HTTP,或者对IRC进行加密处理。
TCP和UDP端口报告能为我们提供关于扫描器的详细信息,这些扫描器通常会在不同端口扫描基于TCP或UDP的漏洞。扫描行为可能是由手动工具(如著名的nmap工具)引发,也可能是各种自动化恶意软件(包括僵尸网络)所为。我们选择的TCP工具——TCP端口报告,有一个与之关联的图表,即蠕虫图。该报告形式多样,包括基本的TCP端口报告以及p2p端口报告、syndump端口报告和电子邮件端口报告等变体。由于僵尸网络可能会产生垃圾邮件,而垃圾邮件检测在网络安全中至关重要,所以我们将电子邮件单独归为一类。
UDP端口报告与TCP端口报告类似,也有一个关联图表——UDP权重图,它能显示大型UDP数据包扫描的强度和时间。虽然很少见到使用UDP的僵尸网络攻击,但为了以防万一,我们还是会对其进行研究。
2. Ourmon Web界面
Ourmon的主Web页面(index.html)顶部有三个HTML表格,为我们提供了在界面中导航的不同方式:
- Ourmon全局目录 :位于页面顶部的一行超文本链接。其中,最重要的链接是帮助链接,它会将你带到Ou
订阅专栏 解锁全文
扫一扫
28
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
