如何检测恶意数据包？

Question

我已经用Java实现了一个数据包分析器。现在我想检测捕获的数据包是否是恶意的。例如，如何使用Java代码检测DOS攻击？TCP数据包的合法大小是多少？如果该大小高于法定大小，该数据包是否被视为恶意的？

Answer 1

测试evil bit！

说真的，不幸的是没有捷径。就像问你怎么在机场检查站发现恐怖分子一样。

您需要阅读RFCs，研究可能发生的攻击类型，并决定您想要尝试和检测哪些攻击；根据这些信息，确定如何检测任何特定类型的攻击的机制应该是简单明了的，如果遇到问题，您可以在这里提出一个更具体的问题。

一些让你开始的链接：

• IP datagram format
• Snort是一种入侵检测系统--即一款软件，它可以完成您正在尝试的工作:捕获流量并根据大量已知的恶意模式进行检查。它是开放源码的:您可以查看源代码以查看它是如何完成任务的，还可以查看它们的数据库以查看它所检查的内容。

。

与病毒检测一样，建立一个足够大的恶意活动模式数据库是这样一个项目的主要困难/代价，也是使您的工具有用与否之间的区别所在。要制作一种工具，除了个人研究之外，任何其他用途都可以使用/教育你自己这些工具是如何工作的，可能需要很多年。您最好的方法可能是利用现有的开放数据库(如Snort)，或者将您的时间用于他们的工作。

Answer 2

你在一个秘密里有两个问题：

1. 什么样的事件序列将被归类为恶意
2. ，如何检测这样的事件序列。

(2)如果没有多年的经验(或借鉴他人的经验)，回答(1)是很困难的，正如基督教的Sciberras所暗示的那样。