摘要 |
Предлагаемый способ обнаружения вторжения для обнаружения вторжения в трафике данных сети передачи данных содержит этапы, на которых синтаксически анализируют трафик данных для извлечения по меньшей мере одного поля протокола сообщения протокола трафика данных; ассоциируют извлеченное поле протокола с моделью для данного поля протокола, причем модель выбирают из набора моделей; оценивают, находится ли содержимое извлеченного поля протокола в безопасной области, как определено моделью; и генерируют сигнал обнаружения вторжения в случае, когда установлено, что содержимое извлеченного поля протокола находится за пределами безопасной области. Набор моделей может содержать соответствующую модель для каждого поля протокола из набора полей протокола. |