Спасибо за ответ, но SNORT организован на принципе сигнатур, т.е. один пакет рассматривают как структуру для анализа, мне нужно анализировать такие признаки, обладающие свойством: по одному пакету ничего нельзя сказать, по группе (сеансу) можно. Т.е., к примеру, у одного пакета из сесии — TTL=10 у остальных 63. Нужны подобные признаки, по которым можно выделить пакет из потока.

Здравствуйте, Аноним, Вы писали:

А>Здравствуйте, Rostov, Вы писали:


R>>Действительно интересный. ТОлько, насколько я понял, для опознавания опасных процессов использовались признаки работы файловой системы (запись, удаление, доступ к файлам другого владельца). Вот бы выделить что-то подобное для сетевых сеансов. Положим, для кажого IP адреса, завести
R>>функцию от IP-адреса,времени сеанса, объема посланных данных, полученных, длительности сеанса, значений некоторых полей заголовков пакетов (TTL,...), и так далее для более качественного идентифицирования сессиии объявить её так, что при близких значениях параметров — её значение должны быть так же близкими.
R>>Здравствуйте, aka50, Вы писали:

А>А если посмотреть как это сделано в какой нибудь IDS... snort (http://www.snort.org/) например.