遗留环境
这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以在 IDP 策略规则中将传统上下文的攻击对象和组配置为匹配条件。
服务环境:AIM
下表显示了 AIM 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
aim-auth-request-msg (ANY) |
匹配请求授权添加到好友列表时从一个用户发送到另一个用户的消息。 |
AIM 身份验证请求消息 |
瞄准消息 (CTS) |
匹配当用户将状态更改为“离开”时发送给其他客户端的消息。 |
AIM Away 消息 |
aim-buddy-comment (任何) |
匹配为联系人列表中的好友存储的评论。 |
AIM好友评论 |
目标功能 (ANY) |
匹配客户端支持的功能集。 |
AIM能力 |
目标聊天信息 (STC) |
匹配有关聊天室的信息。 |
AIM 聊天信息 |
目标-聊天-兴趣 (STC) |
匹配用户个人资料中的个人兴趣类别。 |
AIM聊天兴趣 |
aim-chat-room-desc (STC) |
与聊天室的描述匹配。 |
AIM聊天室介绍 |
aim-chat-room-name (STC) |
匹配 AIM/ICQ 会话中的聊天室名称。 |
AIM 聊天室名称 |
aim-client-ip (STC) |
匹配客户端的 IP 地址,用于直接 P2P 通信。 |
AIM 客户端 IP |
aim-client-port (STC) |
匹配客户端侦听 P2P 通信的端口。 |
AIM 客户端端口 |
aim-client-status (STC) |
匹配用户的联机状态。 |
AIM客户端状态 |
aim-decline-reason (ANY) |
匹配客户端拒绝添加到其他用户的联系人列表时的拒绝原因。 |
AIM拒绝原因 |
aim-descripted-url (任何) |
将网页发送到其他地址时,匹配说明和 URL。 |
AIM 描述的 URL |
目标-电子邮件-地址 (STC) |
匹配配置文件中显示的用户电子邮件地址。 |
AIM电子邮件地址 |
目标错误网址 (STC) |
匹配服务器上用户可在其中重新配置帐户密码的 URL。 |
AIM 错误 URL |
aim-gcard-消息 (ANY) |
匹配与贺卡关联的消息。 |
AIM Gcard 消息 |
aim-gcard-recipient (任何) |
匹配贺卡收件人的屏幕名称。 |
AIM Gcard 收件人 |
aim-gcard-sender (任何) |
匹配贺卡发件人的屏幕名称。 |
AIM Gcard 发件人 |
aim-gcard-theme (任何) |
匹配从一个客户端发送到另一个客户端的贺卡的主题。 |
AIM Gcard 主题 |
aim-gcard-title (任何) |
匹配从一个用户发送到另一个用户的贺卡的标题。 |
AIM Gcard 标题 |
aim-gcard-url(任何) |
匹配从一个用户发送到另一个用户的贺卡的 URL。 |
AIM Gcard 网址 |
aim-get-文件 (STC) |
匹配用户从对等方传输的文件的名称。 |
AIM 获取文件 |
目标组 (ANY) |
匹配一组项目(通常是好友)的名称。 |
AIM集团 |
aim-info-text (STC) |
匹配显示在用户配置文件中的附加信息文本。 |
AIM信息文本 |
aim-local-ip (CTS) |
匹配用于 P2P 通信的客户端的 IP 地址。 |
AIM本地IP |
aim-local-port (CTS) |
匹配客户端侦听 P2P 通信的本地端口。 |
AIM本地端口 |
aim-message-block (任何) |
匹配从一个用户发送到另一个用户的即时消息。 |
AIM 消息块 |
aim-message-description (ANY) |
匹配消息的说明。 |
AIM消息说明 |
aim-nick-name (ANY) |
匹配 AIM/ICQ 用户的昵称。 |
AIM昵称 |
aim-oft-content (任何) |
匹配在对等方之间传输的文件的内容。 |
AIM Oft 内容 |
aim-oft-name (ANY) |
匹配在对等方之间传输的文件的名称。 |
AIM 名称 |
目标-对等-IP (STC) |
匹配对等方的 IP 地址,以便进行直接 P2P 通信。 |
AIM对等体 Ip |
对等端口 (STC) |
匹配对等方的端口,以便进行直接 P2P 通信。 |
AIM 对等端口 |
aim-put-file (CTS) |
匹配用户要传输到对等方的文件的名称。 |
AIM Put 文件 |
aim-screen-name(任何) |
匹配用户的屏幕名称。 |
AIM 屏幕名称 |
目标服务器-IP (STC) |
匹配服务器的 IP 地址。通常在主服务器将客户端重定向到另一台服务器时使用。 |
AIM服务器IP |
aim-server-url (STC) |
匹配服务器上的任何 URL。 |
AIM 服务器 URL |
aim-url (任何) |
匹配用户配置文件的 URL。 |
AIM 网址 |
aim-xml-value (STC) |
将服务器发送的 XML 字符串与请求的 URL 的值进行匹配。 |
AIM XML 值 |
服务上下文: Finger
下表显示了 Finger 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
finger-host (CTS) |
匹配 FINGER 请求中的每个主机名。  |
|||
finger-s2c-数据 (STC) |
finger-s2c-数据 |
|||
手指用户 (CTS) |
匹配 FINGER 请求中的用户名。  |
|||
服务环境:Gnutella
下表显示了 Gnutella 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
gnutella-connect-fail-reason (STC) |
匹配 Gnutella 连接中的连接失败原因字符串。 |
GNUTELLA 连接失败原因 |
gnutella-connect-header (ANY) |
匹配 Gnutella 会话中 HTTP 样式 CONNECT 消息的内容。 |
GNUTELLA Connect 标头 |
gnutella-http-get-filename (CTS) |
匹配客户端要检索的文件的名称。 |
GNUTELLA Http 获取文件名 |
gnutella-http-header (任何) |
匹配 Gnutella 会话中的任何 HTTP 样式标头。 |
GNUTELLA Http 标头 |
gnutella-queryhit-vendor (STC) |
匹配 QUERYHIT 消息回复中的 4 字节供应商代码。 |
GNUTELLA 查询命中供应商 |
gnutella-search-criteria (CTS) |
匹配 Gnutella 会话的 QUERY 消息中的搜索条件。 |
GNUTELLA 搜索条件 |
gnutella-user-agent (任何) |
匹配 Gnutella 会话中用户代理的名称。 |
GNUTELLA 用户代理 |
服务上下文:Gopher
下表显示了 Gopher 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
地鼠显示器 (STC) |
匹配 Gopher 项的显示字符串。 |
地鼠显示器 |
地鼠文件 (STC) |
匹配 Gopher 项目/文件的内容。 |
GOPHER 文件 |
gopher-host-port (STC) |
匹配用于获取项的主机和端口。 |
GOPHER 主机端口 |
地鼠选择器 (STC) |
匹配 Gopher 项的选择器字符串。 |
GOPHER 选择器 |
服务环境:IEC
下表显示了 IEC 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
iec104-message-type-i (任何) |
与 IEC104 的 I 类信息匹配。 |
IEC104 报文类型 I |
iec104-message-type-s (任何) |
匹配 IEC104 的 Type-S 消息。 |
IEC104 报文类型 S |
iec104-message-type-u (任何) |
匹配 IEC104 的 Type-U 消息。 |
IEC104 报文类型 U |
服务环境:IRC
下表显示了 IRC 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
irc 命令 (ANY) |
匹配任何 IRC 命令名称。  |
|||
irc-join-chan (任何) |
匹配 IRC 会话的 JOIN 命令中的通道名称。  |
|||
irc 昵称 (ANY) |
匹配 IRC 会话的 NICK 命令中的名称。  |
|||
irc-notice-msg(任何) |
匹配 IRC 会话的 NOTICE 命令中的消息。  |
|||
irc-oper-name (任何) |
匹配 IRC 会话的 OPER 命令中的名称。 |
|||
irc-oper-password (任何) |
匹配 IRC 会话的 OPER 命令中的密码。 |
|||
irc-part-chan (任何) |
匹配 IRC 会话的 PART 命令中的通道名称。 |
|||
irc 密码 (ANY) |
匹配 IRC 会话的 PASS 命令中的密码。 |
|||
irc-priv-msg(任何) |
匹配 IRC 会话的 PRIVMSG 命令中的消息。  |
|||
irc-实名制 (ANY) |
匹配 IRC 会话的 USER 命令中的真实姓名。  |
|||
irc 主题 (ANY) |
匹配 IRC 会话的 TOPIC 命令的参数。 |
|||
irc 用户名 (ANY) |
匹配 IRC 会话的 USER 命令中的名称。  |
|||
服务上下文:LPR
下表显示了 LPR 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
lpr-cfile-命令 (CTS) |
匹配整个 CFILE 子命令行,包括子命令类型的第一个字节。 |
|||
lpr-cfile-name (CTS) |
匹配作为 RECEIVE-JOB 命令的一部分发送的控制文件名的名称。 |
|||
lpr-命令 (CTS) |
匹配整个命令行,包括命令代码的第一个字节。  |
|||
lpr-d文件名 (CTS) |
匹配作为 RECEIVE-JOB 命令的一部分发送的数据文件名的名称。 |
|||
服务上下文:MSN
下表显示了 MSN 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
msn-addrbook-url (STC) |
匹配用户通讯簿的 URL。 |
MSN Addrbook Url |
msn-compose-url (STC) |
匹配用于撰写电子邮件的 URL。 |
MSN 撰写 URL |
msn-display-name (任何) |
匹配用户的显示名称。 |
MSN 显示名称 |
msn-get-文件 (STC) |
匹配客户端从对等方下载的文件的名称。 |
MSN 获取文件 |
msn-组名 (ANY) |
匹配一组联系人的名称。 |
MSN 组名称 |
msn-收件箱-url (STC) |
匹配用户收件箱的 URL。 |
MSN 收件箱 URL |
MSN-IP-端口 (STC) |
匹配交换机服务器的地址和端口。 |
MSN IP 端口 |
msn 消息 (ANY) |
匹配即时消息文本。 |
MSN 消息 |
msn-message-application(任何) |
匹配应用程序消息(如文件传输)的行。 |
MSN 消息应用程序 |
msn-message-email-notification (STC) |
匹配服务器发送的行,以通知客户端新的或未读的电子邮件。 |
MSN 消息电子邮件通知 |
msn-message-header (任何) |
匹配即时消息的标题行。 |
MSN 邮件头 |
msn-message-profile (STC) |
匹配包含邮件发件人配置文件的行。 |
MSN 邮件配置文件 |
msn-passport-url (STC) |
匹配登录护照 URL。 |
MSN 护照网址 |
msn-phone-number(任何) |
匹配用户的电话号码。 |
MSN 电话号码 |
msn-png-chunk (ANY) |
匹配 MSN 事务中 PNG 块的内容。 |
MSN PNG 块 |
msn-配置文件-url (STC) |
匹配用户护照配置文件的 URL。 |
MSN 配置文件 URL |
msn-put-文件 (CTS) |
匹配客户端发送到对等方的文件的名称。 |
MSN Put 文件 |
msn-sign-in-name (ANY) |
匹配用户的屏幕名称(登录名)。 |
MSN 登录名称 |
MSN-URL (STC) |
匹配 MSN 会话中的任何 URL |
MSN 网址 |
msn-用户状态 (ANY) |
匹配用户的联机状态。 |
MSN 用户状态 |
服务上下文:NNTP
下表显示了 NNTP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
nntp 横幅 (STC) |
匹配 NNTP 横幅。  |
|||
nntp 正文 (ANY) |
匹配 NNTP 消息正文的每一行。  |
|||
nntp-cmd-line (CTS) |
匹配整个 NNTP 命令行。  |
|||
nntp 标头 (ANY) |
匹配 NNTP 会话中的任何标头。  |
|||
nntp-ihave-msgid (CTS) |
匹配 NNTP 会话的 IHAVE 命令中显示的消息 ID。 |
|||
nntp 模式 (CTS) |
匹配 NNTP 模式。  |
|||
nntp-msgid(任何) |
匹配 NNTP 会话的各种命令中显示的消息 ID。  |
|||
nntp 新闻组 (ANY) |
匹配 NNTP 会话中新闻组的名称。 |
|||
服务上下文:REXEC
下表显示了 REXEC 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
rexec-remote-command (CTS) |
匹配 REXEC 会话中的远程命令。 |
REXEC 远程命令 |
rexec-remote-user (CTS) |
匹配 REXEC 会话中的远程用户名。 |
REXEC 远程用户名 |
服务上下文:RLOGIN
下表显示了 RLOGIN 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
rlogin-local-user (CTS) |
匹配 RLOGIN 会话中的本地用户名。  |
|||
rlogin-remote-user (CTS) |
匹配 RLOGIN 会话中的远程用户名。  |
|||
服务环境:RSH
下表显示了 RSH 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
rsh-local-user (CTS) |
匹配 RSH 会话中的本地用户名。  |
|||
rsh-remote-command (CTS) |
匹配 RSH 会话中的远程命令。  |
|||
rsh-remote-user (CTS) |
匹配 RSH 会话中的远程用户名。  |
|||
服务上下文:RUSERS
下表显示了 RUSERS 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
rusers-device (STC) |
匹配 RUSERS 会话中的设备名称。 |
RUSERS 设备 |
rusers-host (STC) |
匹配 RUSERS 会话中的主机名称。 |
RUSERS 主机 |
rusers-user (STC) |
匹配 RUSERS 会话中用户的名称。 |
用户 |
服务上下文:TNS
下表显示了 TNS 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
tns-accept-section (STC) |
匹配 TNS 会话中的接受部分数据。 |
|||
tns-connect-addr-dev (CTS) |
匹配 TNS 会话中的 Connect Address-Dev。 |
|||
tns-connect-addr-host (CTS) |
匹配 TNS 会话中的 Connect Address-Host。 |
|||
tns-connect-addr-key (CTS) |
匹配 TNS 会话中的连接地址键。 |
|||
tns-connect-addr-port (CTS) |
匹配 TNS 会话中的连接地址端口。 |
|||
tns-connect-addr-proto (CTS) |
匹配 TNS 会话中的连接地址协议。 |
|||
tns-connect-cid-host (CTS) |
匹配 TNS 会话中的连接数据 CID 主机。 |
|||
tns-connect-cid-user (CTS) |
匹配 TNS 会话中的连接数据 CID 用户。 |
|||
tns-connect-data-cid-prog (CTS) |
匹配 TNS 会话中的连接数据 CID 程序。 |
|||
tns-connect-data-sid (CTS) |
匹配 TNS 会话中的连接数据 SID。 |
|||
tns-connect- 数据-svcname (CTS) |
匹配 TNS 会话中的连接数据服务名称。 |
|||
tns-connect-section (CTS) |
匹配 TNS 会话中的连接部分数据。  |
|||
tns-data-flags (任何) |
匹配 TNS 会话中数据部分的 2 个字节标志 |
|||
tns 数据部分 (ANY) |
匹配 TNS 会话中的数据部分数据。 |
|||
tns-message-body(任何) |
匹配 TNS 会话中的任何邮件正文。  |
|||
tns 消息类型 (ANY) |
匹配 TNS 会话中的消息类型。  |
|||
tns-preamble (ANY) |
匹配 TNS 消息的前 8 个字节。 |
|||
tns 重定向部分 (STC) |
匹配 TNS 会话中的重定向部分。 |
|||
服务上下文:YMSG
下表显示了 YMSG 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
ymsg 别名 (ANY) |
匹配与主用户名关联的备用名称。 |
|||
ymsg-好友名称 (ANY) |
匹配好友列表中显示的用户的名称。 |
|||
ymsg-chatroom-chatter (任何) |
匹配参与聊天会话的用户的名称 |
|||
ymsg-chatroom-invitee (ANY) |
匹配受邀加入聊天室的用户的名称。 |
|||
ymsg-chatroom-message (任何) |
匹配在聊天室中交换的消息。 |
|||
ymsg-chatroom-name (任意) |
匹配 YMSG 会话中聊天室的名称。 |
|||
ymsg-conf-host(任意) |
匹配主持会议的用户的名称。 |
|||
ymsg-conf-invitee (ANY) |
匹配受邀参加会议的用户的名称。 |
|||
ymsg-conf-join-msg (任) |
匹配作为会议邀请的一部分发送的消息的内容。 |
|||
ymsg-conf 名称 (ANY) |
与会议会话的名称匹配。 |
|||
ymsg-config-url (STC) |
匹配用户在禁用帐户后可在其中配置密码的 URL。 |
|||
ymsg 联系人名称 (ANY) |
匹配好友列表或邀请函中的联系人姓名。 |
|||
ymsg 组名 (ANY) |
匹配用于对好友进行分类的组的名称。 |
|||
ymsg 标头 (ANY) |
匹配协议标头中的数据。  |
|||
ymsg-ignored-user (ANY) |
匹配要添加到忽略的用户列表中或显示在忽略的用户列表中的用户的名称。 |
|||
ymsg-mail-sender (STC) |
匹配发送电子邮件的用户的名称。 |
|||
ymsg-mail- 发件人-地址 (STC) |
匹配发件人的电子邮件地址。 |
|||
ymsg-mail-subject (STC) |
匹配电子邮件主题。 |
|||
ymsg-main-identity(任意) |
匹配用户的主标识名称。 |
|||
ymsg 消息 (ANY) |
匹配从一个客户端发送到另一个客户端的即时消息。  |
|||
ymsg-message-server- 文件名-url (STC) |
将消息与服务器可从中下载并传输到对等方的客户端上的文件名进行匹配。 |
|||
ymsg 昵称 (ANY) |
匹配用户的昵称。 |
|||
ymsg-p2p- 获取文件名 (STC) |
匹配可从中下载文件的对等方上的文件名。  |
|||
ymsg-p2p-get-filename-url (STC) |
匹配文件在对等方上可从中下载文件的位置。 |
|||
ymsg-p2p-put-文件名 (CTS) |
匹配客户机上其他对等方可以下载的文件的名称。  |
|||
ymsg-p2p- put-filename-url (CTS) |
匹配客户机上其他对等方可从下载的文件的位置。 |
|||
ymsg 收件人 (ANY) |
匹配邮件或文件收件人的标识。 |
|||
ymsg-sender (ANY) |
匹配邮件或文件发件人的标识。 |
|||
ymsg-server- 获取文件名-url (STC) |
匹配服务器可从中下载文件并将其传输到对等方的客户端上文件的位置。 |
|||
ymsg-system- 消息 (STC) |
匹配从服务器发送到客户端的消息的内容。 |
|||
ymsg 用户名 (ANY) |
匹配登录用户的身份或用户的别名之一。  |
|||