Ourmon异常检测工具详解
1. 引言
在深入研究高级IRC工具之前,我们需要先了解一组基础的异常检测工具,包括TCP、UDP和电子邮件相关工具。研究这些异常检测工具具有重要意义,一方面,后续的IRC僵尸网络检测系统会用到本章介绍的TCP端口报告;另一方面,异常检测可能发现非僵尸网络的受感染系统。此外,虽然目前许多僵尸网络使用IRC进行通信,但未来它们可能采用其他协议,如HTTP,或者对IRC进行加密处理。
2. Ourmon Web界面
Ourmon的主Web页面(index.html)由配置过程提供,包含三个HTML表格,为用户提供了不同的导航方式:
-Ourmon全局目录:位于页面顶部,是一行超文本链接,其中最重要的是帮助链接,可带你进入Ourmon帮助页面(info.html),该页面详细解释了Ourmon的各个部分,包括配置和数据解读。另一个重要链接是无刷新页面链接,默认情况下,主页面每30秒更新一次,而无刷新页面需要用户手动刷新。
-重要安全和可用性报告/网页:这是三个表格中最重要的一个,用于查找本章及后续章节将讨论的Ourmon部分,其目的是确定对安全至关重要的部分。
-主页面部分:将主页面划分为多个子部分,方便用户跳转到主页面的任意子部分,我们主要关注其中的汇总部分,即每周事件日志/汇总。
主页面上的数据包过滤器是第一个真实数据展示区域,其中“probe pkts/drop”和RRDTOOL当前时间图都是超文本链接。“probe pkts/drop”链接可直接带你进入帮助页面,获取关于
