用户手册
高级安全分析模块
下表列出了一些重要的缩略语及其在本文件中使用的完全扩展的单词/短语。
设置 |
描述 |
|
IP |
网络协议地址 |
|
Src |
来源 |
|
Dst |
目的 |
|
P2P |
对等的 |
|
ToS |
服务的类型 |
|
DoS |
拒绝服务 |
|
TCP: U-A-P-R-S-F |
TCP: Urg – Ack – Psh – Rst – Syn – Fin |
下表列出了用于对问题进行分类的一组类,并作了简要说明。
类名 |
描述 |
不良 Src – Dst |
来源ip和目的ip,其中有一个是可疑。 |
可疑的流 |
除了源ip地址流和目的ip地址流以外的一些属性是可疑的 |
|
DoS |
拒绝服务攻击 |
扫描和探针 |
流使用多个端口或单个端口上的多个主机发送到特定主机。 |
下表列出了不同的阈值定义。
聚合限制设置 |
|
较低限制 |
执行启发式分析和验证导出问题(如端口扫描,主机扫描,入侵等)所需的最小流量。 |
| 较高限制
|
默认配置下单个事件中产生的最大流量,它也是用于TCP Syn违规,TCP Fin违规等基本问题的阈值。 |
源模式设置 |
|
| 最小水平跨度 | 最小数量的不同源主机 - 主机扫描(反向) |
| 最小垂直跨度 | 最小数量的不同源端口 - 端口扫描(反向) |
| 最小对角线跨度 | 约束下的不同源端点的最小数量:(源主机=源端口=源端点) - 对角线扫描(反向) |
| 最小纵横比 | 1. 每个源端口的最小源主机 - 主机扫描(反向) 2. 每个源主机的最小源端口 - 端口扫描(反向) |
| 最低占用率 | 事件中源端点的最小扩展 - 主机扫描(反向),端口扫描(反向),网格扫描(反向)
占用率=源端点/(源主机*源端口) |
| 最低通量率 | 每个源端点的最小命中数 – 溢出 |
| 最小分歧 | 每个源主机的最小目标主机数 - 溢出 |
目的地模式设置 |
|
| 最小水平跨度 | 最小数量的不同目标主机 - 主机扫描 |
| 最小垂直跨度 | 最小数量的不同目标端口 - 端口扫描 |
| 最小对角线跨度 | 约束下的最小不同目标端点数:(目标主机=目标端口=目标端点) - 对角线扫描 |
| 最小纵横比 | 1. 每个目标端口的最小源主机 - 主机扫描 2. 每个目标主机的最小源端口 - 端口扫描 |
| 最低占用率 | 事件中目标端点的最小分布 - 主机扫描,端口扫描,网格扫描
占用率=目的地终点/(目的地主机*目的地端口) |
| 最低通量率 | 每个目的地终点的最低点击次数 -注入 |
| 最小融合 | 每个目标主机的最小目标主机 - 注入 |
下表列出了高级安全分析模块检测到的异常
异常 |
描述 |
攻击 |
流量从多个源主机流向更少的目标主机,超出目标端的最小收敛和最小流量速率。 |
注入 |
从单个/多个源主机到单个/多个目标主机的流量超过目标端的最小流量速率。 |
溢出
|
1. 从较少源主机到多个目标主机的流量超过源端的最小发散率和最小通量率。
2. 从单个/多个源主机到单个/多个目标主机的流量超过源端的最小流量速率。 |
端口扫描
|
1. 从单个/多个源主机到多个目标端口上的单个目标主机的流量超过目标端的最小垂直跨度.
2. 从单个/多个源主机到多个目标端口上的目标主机数量减少,超出目标端的最小垂直跨度,最小占用率和最小纵横比。 |
主机扫描
|
1. 从单个/多个源主机到单个目标端口上的多个目标主机的流量超过目标端的最小水平跨度。
2. 从单个/多个源主机到多个目标端口上的多个目标主机的流量超过目标端的最小水平跨度,最小占用率和最小纵横比。 |
对角线扫描 |
从单个/多个源主机到多个目标主机的流量,其中不同目标主机的数量等于不同目标端口的数量,这也等于目标端点的数量超过目标端的最小对角线跨度(主机 = 端口) |
网格扫描 |
从单个/多个源主机到多个目标端口上的多个目标主机的流量超过目标端的最小垂直跨度或最小水平跨度和最小占用率。 |
端口扫描(反向)
|
1. 使用多个源端口超过源端的最小垂直跨度,从单源主机流向单/多目标主机.
2. 在源端使用多个源端口超过最小垂直跨度,最小占用率和最小纵横比,从较少的源主机流向单个/多个目标主机。 |
主机扫描(反向) |
1. 使用源端口超过最小水平跨度的单个源端口,从多个源主机流向单个/多个目标主机。
2. 使用更少的源端口,从源端到超过最小水平跨度,最小占用率和最小纵横比,从多个源主机流向单个/多个目标主机. |
对角线扫描(反向)
|
流从多个源主机到单个/多个目标主机,其中不同源主机的数量等于不同源端口的数量,这也等于源端点超过源端最小对角线跨度的数量 ( 主机= 端口 = 端点). |
网格扫描(反向)
|
使用多个源端口从多个源主机流向单个/多个目标主机,源端口超过源端的最小垂直跨度或最小水平跨度和最小占用率。 |
下表列出了检测到的问题集,其分类后面是简要说明
问题名称 |
描述 |
类 |
| 过多的广播流量 | 对于任何给定的源 IP,广播流量超过阈值 | 不良 源-目的 |
| 多余的多播流 | 对于任何给定的源 IP,多播流量超过阈值 | 不良 源-目的 |
| 网络广播流量过剩 | 对于任何给定的源 IP,网络IP目标流量超过阈值 | 不良 源-目的 |
| 无效 源-目的流 | 无论企业外围是什么,源或目的 IP都无效,例如,源或目的 IP中的环回IP或IANA本地IP | 不良 源-目的 |
| 无效 ToS 流 | 具有无效ToS值的流 | 不良 源-目的 |
| 陆地攻击流量 | 具有相同Src IP和Dst IP的流。 使目标机器连续自己回复自己 | 不良 源-目的 |
| 格式错误的IP数据包 | BytePerPacket的流量小于或等于最小20个八位字节(字节) | 不良 源-目的 |
| 非单播源流 | 源 IP是多播或广播或网络IP,即不是单播 | 不良 源-目的 |
| TCP Syn违规 | TCP流的TCP标志值等于2/Syn触及或超过上限,并且没有满足以下派生问题 | 可疑流 |
|
TCP Syn从多个源主机流向较少的目标主机,其目的端流量低于最小通量率和最小收敛。 |
拒绝服务攻击/突发访问 | |
| TCP Syn注入 | TCP Syn从单/多源主机流向单/多目的主机,其目的端流量低于最小通量率。 | 拒绝服务攻击/突发访问 |
| TCP Syn溢出 |
1.TCP Syn从较少的源主机流向多个目标主机,在源端低于最小散度和最小通量率。
2.TCP Syn从单/多源主机流到单/多目标主机,在源端流量低于最小通量率。 |
拒绝服务攻击/突发访问 |
| TCP Syn端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Syn流量低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Syn流量低于目标端最小垂直跨度、最小占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Syn流量低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Syn流量低于目标端最小水平跨度、最小占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单个/多个源主机到多个目标主机的TCP Syn流量,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Syn网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Syn流量低于目标端最小垂直跨度或最小水平跨度和最小占用率。 | 扫描/探针 |
| TCP Syn端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Syn流量低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Syn流量低于源端最小垂直跨度、最小占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Syn流量低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Syn流量低于源端最小水平跨度、最小占用率和最小纵横比。 |
扫描/探针 |
|
TCP Syn对角线扫描(反向) |
当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Syn流量,低于源端的最小对角线跨度(主机=端口=终端)。 |
扫描/探针 |
|
TCP Syn网格扫描(反向) |
在多个目标端口上从单/多个源主机到多个目标主机的TCP Syn流量低于目标端最小垂直跨度或最小水平跨度和最小占用率。 |
扫描/探针 |
| 过量的TCP Syn_Ack短包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)之间,TCP标志值等于18/SA触及或超过上限,没有一个派生问题得到满足 | 可疑流 |
| 短TCP Syn_Ack注入 |
1.从多个源主机到较少的目标主机的短TCP Syn_Ack流量低于目标端最小收敛和最小通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Syn_Ack流量低于目标端最小收敛和最小通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Syn_Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Syn_Ack流量低于源端最小散度和最小通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Syn_Ack流量低于源端最小通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Syn_Ack端口扫描 | 1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Syn_Ack流量低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Syn_Ack流量低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack主机扫描 | 1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流量低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流量低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Syn流量,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流量低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Syn_Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Syn流量低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Syn流量低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Syn流量低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Syn流量低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Syn流量,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Ack网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Syn流量低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 多过量的空TCP包 | 也就是说没有任何有效负载的TCP流,每个包的字节数正好40位组(字节),TCP标志值为(25–27, 29–31)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 空TCP攻击 | 从多个源主机到较少的目标主机的空TCP流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 空TCP注入 | 从单/多个源主机到单/多个目标主机的空TCP流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 空TCP溢出 |
1.从较少的源主机到多个目标主机的空TCP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的空TCP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 空TCP端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的空TCP流量低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的空TCP流量低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| >空TCP主机扫描 |
1.在多个目标端口上从单/多个源主机到多个目标主机的空TCP流量低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的空TCP流量低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空TCP对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的空TCP流量,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 空TCP网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的空TCP流量低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 空TCP端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的空TCP流量低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的空TCP流量低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空TCP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的空TCP流量低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的空TCP流量低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空TCP对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的空TCP流量,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 空TCP网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的空TCP流量低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Ack包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值等于16/A表示TCP Ack触及或超过上限,且下列派生问题都不能得到满足。 | 可疑流 |
| 短TCP Ack注入 |
1.从多个源主机到较少的目标主机的短TCP Ack流低于目标端的最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Ack流低于目标端的最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Ack流低于源端的最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Ack流低于源端的最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Ack端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Ack流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Ack流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Ack主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Ack流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Ack流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Ack流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Ack流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Ack流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Ack流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Ack流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Ack流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Ack流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
|
短TCP Ack网格扫描(反向) |
使用多个源端口的从多个源主机到单/多个目标主机的短TCP Ack流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Fin_Ack包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值等于17/FA触及或超过上限且以下派生问题都没有满足。 | 可疑流 |
|
1.从多个源主机到较少的目标主机的短TCP Fin_Ack流低于目标端的最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Fin_Ack流低于目标端的最低通量率。 |
拒绝服务攻击/突发访问 | |
| 短TCP Fin_Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Fin_Ack流低于源端的最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Fin_Ack流低于源端的最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Fin_Ack端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Fin_Ack流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Fin_Ack流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Fin_Ack主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Fin_Ack流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Fin_Ack流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Fin_Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Fin_Ack流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Fin_Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Fin_Ack流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Fin_Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Fin_Ack流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Fin_Ack流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Fin_Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Fin_Ack流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Fin_Ack流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Fin_Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Fin_Ack流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Fin_Ack网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Fin_Ack流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP握手包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为(19/ASF, 22/ARS, 23/ARSF), 表示打开和关闭的TCP会话,触及或超过上限,并且没有满足下列派生问题。 | 可疑流 |
| 短TCP握手攻击 | 从多个源主机到较少的目标主机的短TCP握手流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP握手注入 | 从单/多个源主机到单/多个目标主机的短TCP握手流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP握手溢出 |
1.从较少的源主机到多个目标主机的短TCP握手流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP握手流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP握手端口扫描 |
1.在多个目标端口上从单/多个源主机到多个目标主机的短TCP握手流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP握手流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP握手主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP握手流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP握手流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP握手对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP握手流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP握手网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP握手流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP握手端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP握手流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP握手流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP握手主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP握手流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP握手流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP握手对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP握手流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP握手网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP握手流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Psh_Ack_No-Syn_Fin包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为(24/PA, 28/APR)表示TCP Psh_Ack_No-Syn_Fin触及或超过上限且没有满足以下派生问题。 | 可疑流 |
| 短TCP Psh_Ack攻击 | 从多个源主机到较少的目标主机的短TCP Psh_Ack流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Psh_Ack注入 | 从单/多个源主机到单/多个目标主机的短TCP Psh_Ack流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Psh_Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Psh_Ack流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Psh_Ack端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Psh_Ack流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Psh_Ack流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh_Ack主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Psh_Ack流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Psh_Ack流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh_Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Psh_Ack流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Psh_Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Psh_Ack流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Psh_Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh_Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh_Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Psh_Ack流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Psh_Ack网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Psh_Ack流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
|
过量的短TCP Psh_No-Ack包 |
也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为(8/P, 42/UPS, 43/UPSF, 44/UPR, 45/UPRF, 46/UPRS, 47/UPRSF)表示TCP Psh_No-Ack触及或超过上限,且下列派生问题都不能得到满足。 | 可疑流 |
| 短TCP Psh攻击 | 从多个源主机到较少的目标主机的短TCP Psh流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Psh注入 | 从单/多个源主机到单/多个目标主机的短TCP Psh流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Psh溢出 |
1.从较少的源主机到多个目标主机的短TCP Psh流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Psh流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Psh端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Psh流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Psh流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Psh流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Psh流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Psh流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Psh网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Psh流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Psh端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Psh流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Psh流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Psh流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Psh流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Psh对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Psh流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Psh网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Psh流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Rst_Ack包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为(20/AR, 21/ARF)表示TCP Rst_Ack流,触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 短TCP Rst_Ack注入 |
1.从多个源主机到较少的目标主机的短TCP Rst_Ack流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Rst_Ack流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Rst_Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Rst_Ack流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Rst_Ack端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Rst_Ack流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Rst_Ack流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Rst_Ack主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Rst_Ack流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Rst_Ack流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Rst_Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Rst_Ack流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Rst_Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Rst_Ack流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Rst_Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Rst_Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Rst_Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Rst_Ack流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Rst_Ack网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Rst_Ack流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Syn_Ack包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为18/SA触及或超过上限且以下派生问题没有得到满足 | 拒绝服务攻击/突发访问 |
| 短TCP Syn_Ack注入 |
1.从多个源主机到较少的目标主机的短TCP Syn_Ack流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Syn_Ack流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Syn_Ack溢出 |
1.从较少的源主机到多个目标主机的短TCP Syn_Ack流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Syn_Ack端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Syn_Ack流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Syn_Ack流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Syn_Ack流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Ack网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Ack流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Syn_Ack端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Ack对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Syn_Ack流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Ack网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Syn_Ack流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短TCP Syn_Rst包 | 也就是说具有标称有效负载的TCP流,每个包的字节数在40到44位组(字节)且TCP标志值为6/RS表示TCP Syn_Rst流,但不包含Urg/Ack/Psh标志,触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 短TCP Syn_Rst攻击 | 从多个源主机到较少的目标主机的短TCP Syn_Rst流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Syn_Rst注入 | 从单/多个源主机到单/多个目标主机的短TCP Syn_Rst流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 短TCP Syn_Rst溢出 |
1.从较少的源主机到多个目标主机的短TCP Syn_Rst流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短TCP Syn_Rst端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短TCP Syn_Rst流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短TCP Syn_Rst流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Rst主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Rst流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Rst流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Rst对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短TCP Syn_Rst流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Rst网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短TCP Syn_Rst流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 短TCP Syn_Rst端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Rst主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最小水平跨度。.
2.使用较少的源端口的从多个源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短TCP Syn_Rst对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的短TCP Syn_Rst流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短TCP Syn_Rst网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短TCP Syn_Rst流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Fin违规 | TCP流的TCP标志值为(1/F, 5/RF)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| TCP Fin攻击 | 从多个源主机到较少的目标主机的TCP Fin流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Fin注入 | 从单/多个源主机到单/多个目标主机的TCP Fin流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Fin溢出 |
1.从较少的源主机到多个目标主机的TCP Fin流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Fin流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Fin端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Fin流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Fin流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Fin主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Fin流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Fin流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Fin对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Fin流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Fin网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Fin流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Fin端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Fin流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Fin流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Fin主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Fin流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Fin流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Fin对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Fin流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Fin网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Fin流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Null违规 | TCP流的TCP标志值为0/Null触及或超过上限且以下派生问题都没有满足 | 可疑流 |
| TCP Null攻击 | 从多个源主机到较少的目标主机的TCP Null流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Null注入 | 从单/多个源主机到单/多个目标主机的TCP Null流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Null溢出 |
1.从较少的源主机到多个目标主机的TCP Null流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Null流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Null端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Null流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Null流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Null主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Null流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Null流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Null对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Null流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Null网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Null流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Null端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Null流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Null流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Null主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Null流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Null流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Null对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Null流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Null网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Null流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Rst违规 | TCP流的TCP标志值为4/R触及或超过上限且以下派生问题都没有得到满足 | 可疑流 |
| TCP Rst攻击 | 从多个源主机到较少的目标主机的TCP Rst流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Rst注入 | 从单/多个源主机到单/多个目标主机的TCP Rst流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Rst溢出 |
1.从较少的源主机到多个目标主机的TCP Rst流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Rst流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Rst端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Rst流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Rst流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Rst主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Rst流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Rst流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Rst对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Rst流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Rst网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Rst流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Rst端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Rst流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Rst流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Rst主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Rst流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Rst流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Rst对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Rst流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Rst网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Rst流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Syn_Fin违规 | TCP流的TCP标志值为(3/SF, 7/RSF)表示TCP Syn_Fin –或者– Syn_Rst_Fin流(没有Urg/Ack/Psh标志值)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| TCP Syn_Fin攻击 | 从多个源主机到较少的目标主机的TCP Syn_Fin流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Syn_Fin注入 | 从单/多个源主机到单/多个目标主机的TCP Syn_Fin流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Syn_Fin溢出 |
1.从较少的源主机到多个目标主机的TCP Syn_Fin流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Syn_Fin流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Syn_Fin端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Syn_Fin流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Syn_Fin流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn_Fin主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Syn_Fin流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Syn_Fin流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn_Fin对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Syn_Fin流,低于目标端的最小对角线跨度(主机=端口=终端)。 | Scans / Probes |
| TCP Syn_Fin网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Syn_Fin流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Syn_Fin端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Syn_Fin流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Syn_Fin流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn_Fin主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Syn_Fin流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Syn_Fin流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Syn_Fin对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Syn_Fin流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Syn_Fin网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Syn_Fin流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Urg违规 | TCP流的TCP标志值为(32-40, 42-63)表示除了XMAS组合之外的所有Urg标志值触及或超过了上限且以下派生问题都没有得到满足 | 可疑流 |
| TCP Urg攻击 | 从多个源主机到较少的目标主机的TCP Urg流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Urg注入 | 从单/多个源主机到单/多个目标主机的TCP Urg流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| TCP Urg溢出 |
1.从较少的源主机到多个目标主机的TCP Urg流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Urg流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Urg端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Urg流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Urg流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Urg主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Urg流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Urg流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Urg对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Urg流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Urg网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Urg流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Urg端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Urg流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Urg流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Urg主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Urg流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Urg流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Urg对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Urg流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Urg网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Urg流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Xmas违规 | TCP流的TCP标志值为41/UPF触及或超过上限且以下派生问题都没有满足 | 可疑流 |
| TCP Xmas注入 |
1.从多个源主机到较少的目标主机的TCP Xmas流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Xmas流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Xmas溢出 |
1.从较少的源主机到多个目标主机的TCP Xmas流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的TCP Xmas流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| TCP Xmas端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的TCP Xmas流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的TCP Xmas流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Xmas主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的TCP Xmas流低于目标端最小水平跨度。 2.在较少的目标端口上从单/多个源主机到多个目标主机的TCP Xmas流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Xmas对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的TCP Xmas流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Xmas网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的TCP Xmas流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| TCP Xmas端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的TCP Xmas流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的TCP Xmas流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Xmas主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的TCP Xmas流低于源端最小水平跨度。 2.使用较少的源端口的从多个源主机到单/多个目标主机的TCP Xmas流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| TCP Xmas对角线扫描(R反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的TCP Xmas流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| TCP Xmas网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的TCP Xmas流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 格式错误的TCP包 | TCP流的字节少于最小值40位组(字节)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 格式错误的TCP攻击 | 从多个源主机到较少的目标主机的格式错误的TCP流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 格式错误的TCP注入 | 从单/多个源主机到单/多个目标主机的格式错误的TCP流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| 格式错误的TCP溢出 |
1.从较少的源主机到多个目标主机的格式错误的TCP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的格式错误的TCP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 格式错误的TCP端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的格式错误的TCP流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的格式错误的TCP流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的TCP主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的格式错误的TCP流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的格式错误的TCP流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的TCP对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的格式错误的TCP流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 格式错误的TCP网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的格式错误的TCP流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 格式错误的TCP端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的格式错误的TCP流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的格式错误的TCP流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的TCP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的格式错误的TCP流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的格式错误的TCP流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的TCP对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的格式错误的TCP流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 格式错误的TCP网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的格式错误的TCP流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| ICMP请求广播 | ICMP Request流的目标端口值为(2048/回送请求, 3328/时间戳请求, 3840/信息请求, 4352/地址掩码请求)发送到单播/多播IP触及或超过上限且以下派生问题都没有满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| ICMP请求广播攻击 | 从多个源主机到较少的目标主机的ICMP请求广播流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| ICMP请求广播注入 | 从单/多个源主机到单/多个目标主机的ICMP请求广播流低于目标端最低通量率。 | 拒绝服务攻击/突发访问 |
| ICMP请求广播溢出 |
1.从较少的源主机到多个目标主机的ICMP请求广播流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP请求广播流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP请求广播主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP请求广播流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP请求广播流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP请求广播主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP请求广播流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP请求广播流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的ICMP请求 | ICMP请求的目的端口值为(2048/回送请求, 3328/时间戳请求, 3840/信息请求, 4352/地址掩码请求)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| ICMP请求注入 |
1.从多个源主机到较少的目标主机的ICMP请求流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP请求流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP请求溢出 |
1.从较少的源主机到多个目标主机的ICMP请求流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP请求流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP请求主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP请求流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP请求流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP请求主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP请求流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP请求流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的ICMP回应 | ICMP回应流的目的端口值为(0/回送应答, 3584/时间戳应答, 4096/信息应答, 4608/地址掩码应答)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| ICMP回应注入 |
1.从多个源主机到较少的目标主机的ICMP回应低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP回应低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP回应溢出 |
1.从较少的源主机到多个目标主机的ICMP回应低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP回应低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP回应主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP回应低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP回应低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP回应主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP回应低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP回应低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP主机不可达 | ICMP主机不可达流的目的端口值为(769/主机不可达, 773/源站选路失败, 775/未知主机, 776/源主机被隔离(作废不用), 778/主机被强制禁止, 780/由于服务类型TOS,主机不可达, 781/通信被过滤强制禁止) 触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
|
|
1.从多个源主机到较少的目标主机的ICMP主机不可达流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP主机不可达流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP主机不可达溢出 |
1.从较少的源主机到多个目标主机的ICMP主机不可达流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP主机不可达流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP主机不可达主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP主机不可达流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP主机不可达流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP主机不可达主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP主机不可达流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP主机不可达流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP网络不可达 | ICMP网络不可达流的目的端口值为(768/网络不可达, 774/未知网络, 777/网络被强制禁止, 779/由于服务类型TOS,网络不可达)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| ICMP网络不可达注入 |
1.从多个源主机到较少的目标主机的ICMP网络不可达流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP网络不可达流低于目标端最低通量率。
|
拒绝服务攻击/突发访问 |
| ICMP网络不可达溢出 |
1.从较少的源主机到多个目标主机的ICMP网络不可达流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP网络不可达流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP网络不可达主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP网络不可达流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP网络不可达流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP网络不可达主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP网络不可达流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP网络不可达流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 不良的Src-Dst | ||
| ICMP参数问题流 | ICMP参数问题流的目的端口值为(3072/坏的IP首部, 3073/缺少必需的选项, 3074/错误长度)触及或超过上限且下面的派生问题都没有得到满足。通常指一些本地或远程实施错误,也就是说无效的数据报文。 | 可疑流 |
| ICMP参数问题注入 |
1.从多个源主机到较少的目标主机的ICMP参数问题流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP参数问题流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP参数问题溢出 |
1.从较少的源主机到多个目标主机的ICMP参数问题流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP参数问题流低于源端最低通量率。
|
拒绝服务攻击/突发访问 |
| ICMP参数问题主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP参数问题流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP参数问题流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP参数问题主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP参数问题流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP参数问题流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP端口不可达 | ICMP端口不可达流的目的端口值为771/端口不可达触及或超过上限且以下派生问题都没有满足 | 可疑流 |
| ICMP端口不可达注入 |
1.从多个源主机到较少的目标主机的ICMP端口不可达流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP端口不可达流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
|
|
1.从较少的源主机到多个目标主机的ICMP端口不可达流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP端口不可达流低于源端最低通量率。
|
拒绝服务攻击/突发访问 |
| ICMP端口不可达主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP端口不可达流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP端口不可达流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP端口不可达主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP端口不可达流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP端口不可达流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP协议不可达 | ICMP协议不可达流的目的端口值为(770/协议不可达)触及或超过上限且下面的派生问题都没有得到满足。可以用于执行TCP会话拒绝服务,断开TCP连接。 | 拒绝服务攻击/突发访问 |
| ICMP协议不可达注入 |
1.从多个源主机到较少的目标主机的ICMP协议不可达流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP协议不可达流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP协议不可达溢出 |
1.从较少的源主机到多个目标主机的ICMP协议不可达流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP协议不可达流低于源端最低通量率。
|
拒绝服务攻击/突发访问 |
| ICMP协议不可达主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP协议不可达流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP协议不可达流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP协议不可达主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP协议不可达流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP协议不可达流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP重定向 | ICMP重定向流的目的端口值为(1280/对网络重定向, 1281/对主机重定向, 1282/对TOS和网络重定向, 1283/对TOS和主机重定向)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| ICMP重定向注入 |
1.从多个源主机到较少的目标主机的ICMP重定向流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP重定向流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP重定向溢出 |
1.从较少的源主机到多个目标主机的ICMP重定向流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP重定向流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP重定向主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP重定向流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP重定向流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP重定向主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP重定向流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP重定向流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP源端被关闭流 | ICMP源端被关闭流的目的端口值为(1024/源端被关闭)触及或超过上限且下面的派生问题都没有得到满足。过时的。但是可以通过限制路由器或主机的带宽来尝试拒绝服务。 | 拒绝服务攻击/突发访问 |
| ICMP源端被关闭注入 |
1.从多个源主机到较少的目标主机的ICMP源端被关闭流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP源端被关闭流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP源端被关闭溢出 |
1.从较少的源主机到多个目标主机的ICMP源端被关闭流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP源端被关闭流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP源端被关闭主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP源端被关闭流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP源端被关闭流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP源端被关闭主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP源端被关闭流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP源端被关闭流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP超时流 | ICMP超时流的目的端口值为(2816/传输期间生存时间为0, 2817/在数据报重新组装期间生存时间为0)触及或超过上限且下面的派生问题都没有得到满足。表示Traceroute尝试或数据报文分片重新组装失败 | 可疑流 |
| ICMP超时注入 |
1.从多个源主机到较少的目标主机的ICMP超时流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP超时流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP超时溢出 |
1.从较少的源主机到多个目标主机的ICMP超时流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP超时流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP超时主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP超时流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP超时流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP超时主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP超时流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP超时流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP Trace Route流 | ICMP Traceroute的目的端口值为7680/Trace Route触及或超过上限且以下派生问题没有得到满足。表示traceroute尝试。 | 可疑流 |
| ICMP Trace Route注入 |
1.从多个源主机到较少的目标主机的ICMP Trace Route流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP Trace Route流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP Trace Route溢出 |
1.从较少的源主机到多个目标主机的ICMP Trace Route流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP Trace Route流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP Trace Route主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP Trace Route流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP Trace Route流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP Trace Route主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP Trace Route流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP Trace Route流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP由于ToS不可达 | ICMP ToS不可达流的目的端口值为(779/由于ToS网络不可达, 780/由于ToS主机不可达)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| ICMP ToS不可达注入 |
1.从多个源主机到较少的目标主机的ICMP ToS不可达流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP ToS不可达流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
|
|
1.从较少的源主机到多个目标主机的ICMP ToS不可达流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP ToS不可达流低于源端最低通量率。
|
拒绝服务攻击/突发访问 |
| ICMP ToS不可达主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP ToS不可达流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP ToS不可达流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP ToS不可达主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP ToS不可达流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP ToS不可达流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的ICMP数据包 | ICMP流的字节数少于最小值28位组(字节) 触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 格式错误的ICMP注入 |
1.从多个源主机到较少的目标主机的格式错误的ICMP流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的格式错误的ICMP流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 格式错误的ICMP溢出 |
1.从较少的源主机到多个目标主机的格式错误的ICMP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的格式错误的ICMP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 格式错误的ICMP主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的格式错误的ICMP流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的格式错误的ICMP流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的ICMP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的格式错误的ICMP流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的格式错误的ICMP流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP数据报文转换错误流流 | ICMP数据报文转换错误流的目的端口值为7936/数据报文转换错误,也就是说对于有效的数据报文触及或超过了上限且以下派生问题没有得到满足 | 可疑流 |
|
1.从多个源主机到较少的目标主机的ICMP数据报文转换错误流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP数据报文转换错误流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 | |
|
|
1.从较少的源主机到多个目标主机的ICMP数据报文转换错误流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的ICMP数据报文转换错误流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| ICMP数据报文转换错误主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的ICMP数据报文转换错误流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的ICMP数据报文转换错误流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| ICMP数据报文转换错误主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的ICMP数据报文转换错误流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的ICMP数据报文转换错误流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的UDP Echo响应 | 来自源端口的UDP Echo响应 7 (Echo)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| UDP Echo响应注入 |
1.从多个源主机到较少的目标主机的UDP Echo响应低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo响应低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo响应溢出 |
1.从较少的源主机到多个目标主机的UDP Echo响应低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo响应低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo响应端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的UDP Echo响应低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的UDP Echo响应低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo响应主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Echo响应低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Echo响应低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo响应对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的UDP Echo响应,低于目标端的最小对角线跨度(主机=端口=终端)。 | Scans / Probes |
| UDP Echo响应网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的UDP Echo响应低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| UDP Echo响应主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Echo响应低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Echo响应低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的UDP Echo请求 | 到目的端口的UDP Echo请求7 (Echo)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| UDP Echo请求注入 |
1.从多个源主机到较少的目标主机的UDP Echo请求低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo请求低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo请求溢出 |
1.从较少的源主机到多个目标主机的UDP Echo请求低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo请求低于源端最低通量率。d. |
拒绝服务攻击/突发访问 |
| UDP Echo请求主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Echo请求低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Echo请求低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的UDP Echo请求低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的UDP Echo请求低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Echo请求低于源端最小水平跨度。 2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Echo请求低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的UDP Echo请求,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| UDP Echo请求网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的UDP Echo请求低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| UDP Echo请求广播 | 目标端口的UDP Echo请求7 (Echo)发送到单播/多播IP触及或超过上限且以下派生问题都没有满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| UDP Echo请求广播攻击 | 从多个源主机到较少的目标主机的UDP Echo请求广播流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| UDP Echo请求广播注入 |
从单/多个源主机到单/多个目标主机的UDP Echo请求广播流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo请求广播溢出 |
1.从较少的源主机到多个目标主机的UDP Echo请求广播流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo请求广播流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo请求广播主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Echo请求广播流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Echo请求广播流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求广播端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的UDP Echo请求广播流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的UDP Echo请求广播流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求广播主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Echo请求广播流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Echo请求广播流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo请求广播对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的UDP Echo请求广播流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| UDP Echo请求广播网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的UDP Echo请求广播流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| UDP Chargen-Echo广播 | UDP流,来自源端口19/Chargen到目标端口7/Echo, 发送到单播/多播IP触及或超过上限且以下派生问题都没有满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| UDP Chargen-Echo广播攻击 | 从多个源主机到较少的目标主机的UDP Chargen-Echo广播流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| UDP Chargen-Echo广播注入 |
从单/多个源主机到单/多个目标主机的UDP Chargen-Echo广播流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
|
|
1.从较少的源主机到多个目标主机的UDP Chargen-Echo广播流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Chargen-Echo广播流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Chargen-Echo广播主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Chargen-Echo广播流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Chargen-Echo广播流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Chargen-Echo广播主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Chargen-Echo广播流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Chargen-Echo广播流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo-Chargen广播 | UDP流,来自源端口7/Echo到目的端口19/Chargen,发送到单播/多播IP触及或超过上限且以下派生问题都没有满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| UDP Echo-Chargen广播攻击 | 从多个源主机到较少的目标主机的UDP Echo-Chargen广播流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| UDP Echo-Chargen广播注入 |
从单/多个源主机到单/多个目标主机的UDP Echo-Chargen广播流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo-Chargen广播溢出 |
1.从较少的源主机到多个目标主机的UDP Echo-Chargen广播流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo-Chargen广播流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo-Chargen广播主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Echo-Chargen广播流低于目标端最小水平跨度。 2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Echo-Chargen广播流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo-Chargen广播主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Echo-Chargen广播流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Echo-Chargen广播流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的空UDP数据包 | 没有任何有效负载的UDP流,每个包的字节数正好为28位组(字节)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 空UDP攻击 | 从多个源主机到较少的目标主机的空UDP流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 空UDP注入 |
从单/多个源主机到单/多个目标主机的空UDP流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 空UDP溢出 |
1.从较少的源主机到多个目标主机的空UDP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的空UDP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 空UDP端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的空UDP流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的空UDP流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空UDP主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的空UDP流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的空UDP流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空UDP对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的空UDP流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 空UDP网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的空UDP流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 空UDP端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的空UDP流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的空UDP流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空UDP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的空UDP流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的空UDP流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 空UDP对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的空UDP流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 空UDP网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的空UDP流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 过量的短UDP包 | 具有标称有效负载的UDP流,每个包的字节数在29-32位组(字节)之间, 触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 短UDP攻击 | 从多个源主机到较少的目标主机的短UDP流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 短UDP注入 |
从单/多个源主机到单/多个目标主机的短UDP流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短UDP溢出 |
1.从较少的源主机到多个目标主机的短UDP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的短UDP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 短UDP端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的短UDP流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的短UDP流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短UDP主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的短UDP流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的短UDP流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短UDP对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的短UDP流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 短UDP网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的短UDP流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | Scans / Probes |
| 短UDP端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的短UDP流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的短UDP流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短UDP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的短UDP流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的短UDP流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 短UDP对角线扫描(反向) | 使用较少的源端口的从多个源主机到单/多个目标主机的短UDP流低于源端最小水平跨度、最低占用率和最小纵横比。 | 扫描/探针 |
| 短UDP网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的短UDP流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 格式错误的UDP包 | UDP流的每个包的字节数少于最小值28位组(字节)触及或超过上限且下面的派生问题都没有得到满足。 | 可疑流 |
| 格式错误的UDP攻击 | 从多个源主机到较少的目标主机的格式错误的UDP流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| 格式错误的UDP注入 |
从单/多个源主机到单/多个目标主机的格式错误的UDP流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| 格式错误的UDP溢出 |
1.从较少的源主机到多个目标主机的格式错误的UDP流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的格式错误的UDP流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| 格式错误的UDP端口扫描 |
1.在多个目标端口上从单/多个源主机到单个目标主机的格式错误的UDP流低于目标端最小垂直跨度。
2.在多个目标端口上从单/多个源主机到较少的目标主机的格式错误的UDP流低于目标端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的UDP主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的格式错误的UDP流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的格式错误的UDP流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的UDP对角线扫描 | 当不同目标主机的数量等于不同目标端口的数量等于不同目标终端的数量,从单/多个源主机到多个目标主机的格式错误的UDP流,低于目标端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 格式错误的UDP网格扫描 | 在多个目标端口上从单/多个源主机到多个目标主机的格式错误的UDP流低于目标端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| 格式错误的UDP端口扫描(反向) |
1.使用多个源端口的从单个源主机到单/多个目标主机的格式错误的UDP流低于源端最小垂直跨度。
2.使用多个源端口的从较少的源主机到单/多个目标主机的格式错误的UDP流低于源端最小垂直跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的UDP主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的格式错误的UDP流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的格式错误的UDP流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 格式错误的UDP对角线扫描(反向) | 当不同源主机的数量等于不同源端口的数量等于不同源终端的数量,从多个源主机到单/多个目标主机的格式错误的UDP流,低于源端的最小对角线跨度(主机=端口=终端)。 | 扫描/探针 |
| 格式错误的UDP网格扫描(反向) | 使用多个源端口的从多个源主机到单/多个目标主机的格式错误的UDP流低于源端最小垂直跨度或最小水平跨度和最低占用率。 | 扫描/探针 |
| Snork攻击流 | UDP流的源端口为(7, 19, 135)且目的端口为(135)触及或超过上限且下面的派生问题都没有得到满足。显示对Windows NT RPC服务的拒绝服务攻击。 | 拒绝服务攻击/突发访问 |
| UDP Snork攻击 | 从多个源主机到较少的目标主机的UDP Snork流低于目标端最小收敛和最低通量率。 | 拒绝服务攻击/突发访问 |
| UDP Snork注入 |
从单/多个源主机到单/多个目标主机的UDP Snork流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Snork溢出 |
1.从较少的源主机到多个目标主机的UDP Snork流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Snork流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Snork主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Snork流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Snork流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Snork主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Snork流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Snork流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的UDP Chargen-Echo流 | UDP流,来自源端口19/Chargen到目的端口7/Echo,发送到任意单播IP触及或超过上限且以下派生问题都没有得到满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| UDP Chargen-Echo注入 |
1.从多个源主机到较少的目标主机的UDP Chargen-Echo流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Chargen-Echo流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Chargen-Echo溢出 |
1.从较少的源主机到多个目标主机的UDP Chargen-Echo流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Chargen-Echo流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Chargen-Echo主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Chargen-Echo流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Chargen-Echo流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Chargen-Echo主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Chargen-Echo流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Chargen-Echo流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| 过量的UDP Echo-Chargen流 | UDP流,从源端口7/Echo到目的端口19/Chargen,发送到任意单播IP触及或超过上限且以下派生问题都没有得到满足。表示源IP的攻击可能扩大。 | 拒绝服务攻击/突发访问 |
| UDP Echo-Chargen注入 |
1.从多个源主机到较少的目标主机的UDP Echo-Chargen流低于目标端最小收敛和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo-Chargen流低于目标端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo-Chargen溢出 |
1.从较少的源主机到多个目标主机的UDP Echo-Chargen流低于源端最小散度和最低通量率。
2.从单/多个源主机到单/多个目标主机的UDP Echo-Chargen流低于源端最低通量率。 |
拒绝服务攻击/突发访问 |
| UDP Echo-Chargen主机扫描 |
1.在单个目标端口上从单/多个源主机到多个目标主机的UDP Echo-Chargen流低于目标端最小水平跨度。
2.在较少的目标端口上从单/多个源主机到多个目标主机的UDP Echo-Chargen流低于目标端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |
| UDP Echo-Chargen主机扫描(反向) |
1.使用单个源端口的从多个源主机到单/多个目标主机的UDP Echo-Chargen流低于源端最小水平跨度。
2.使用较少的源端口的从多个源主机到单/多个目标主机的UDP Echo-Chargen流低于源端最小水平跨度、最低占用率和最小纵横比。 |
扫描/探针 |