ids模块学习总结.docxVIP

IDS模块学习总结目录1文档说明41.1编写目的41.2阅读建议41.3参考资料41.4缩写术语42IDS52.1概念52.2CIDF模型52.3分类52.3.1按检测时间52.3.2按检测手段52.3.3按检测技术基础52.3.4按输入数据的来源52.3.5按分析方法62.4流程62.4.1入侵检测的第一步：信息收集62.4.2入侵检测的第二步：数据分析62.5评估72.5.1性能标准72.5.2评估步骤82.5.3评估指标83常见网络攻击类型103.1UDP泛洪103.2TCP SYN泛洪103.3TCP LAND攻击103.4TCP RST攻击103.5TCP连接劫持103.6TCP非法报文103.7DHCP泛洪103.8ICMP泛洪103.9ICMP反射泛洪（SMURF攻击）103.10FRAGGLE攻击113.11ARP泛洪（MAC泛洪）113.12STP攻击113.13VTP攻击113.14端口扫描113.15PING OF DEATH114用户态124.1运行方式124.2功能124.3数据结构124.3.1IDS规则配置124.3.2IDS策略配置134.4与内核态通信134.4.1通信方式134.4.2通信内容134.5主要接口144.5.1void configure_kernel_strategy(AC_DEVM_IDSSTRY_CONFIG_T *pStrategy)144.5.2void configure_kernel(AC_DEVM_IDSRULE_CONFIG_T *pConfig)145内核态155.1运行方式155.2功能155.3数据结构155.3.1规则参数155.3.2规则配置155.3.3规则状态155.3.4规则记录155.3.5用户信息165.3.6用户追踪记录165.3.7报文检测结果165.3.8用户MAC—IP165.3.9事件扩展信息165.3.10事件165.3.11事件等待上报结构165.4宏定义175.4.1攻击类型175.4.2事件级别175.4.3事件状态175.4.4对象类型175.4.5规则记录状态175.5主要接口175.5.1unsigned int hook_kids(unsigned int hooknum, struct sk_buff **pskb, const struct net_device *in, const struct net_device *out, int (*okfn)(struct sk_buff *))175.5.2ip_pkt_scan185.5.3arp_pkt_scan185.5.4tcp_pkt_scan185.5.5udp_pkt_scan185.5.6icmp_pkt_scan185.5.7static void inline update_report_after_trigger(unsigned long ulRuleId, AC_IDS_RULE_STATE_T *pState, AC_IDS_RULE_CFG_T *pCfg, AC_IDS_USER_INFO_T *pUser)185.5.8static inline int update_trigger_after_match(AC_IDS_RULE_STATE_T *pState, AC_IDS_RULE_CFG_T *pCfg)185.5.9static inline void kids_event_report(unsigned long ulRuleId, unsigned long ulStatus, AC_IDS_USER_INFO_T *pstUser)185.5.10static ssize_t cfg_fs_input(struct file *filp, const char *buff, size_t len, loff_t *off)185.5.11static ssize_t evt_fs_output(struct file *filp, char *buffer, size_t length, loff_t *offset)185.5.12static AC_IDS_USER_RULE_ITEM_T* kids_rule_fetch_user(AC_IDS_RULE_ITEM_T* pstRule, unsigned char* acUserMac,unsigned char* acUserIP)186遗留问题196.1AC-WEB显示错误（应修改）、196.2AC-WEB无效配置（应删除）196.3代码错误19文档说明编写目的阅读建议参考资料IDS模块代码。IDS相关网络资料。缩写术语缩写术语英文中文IDSIntr