Cybershark & NotFakeAccount
Cybershark Cybershark
NotFakeAccount NotFakeAccount
NotFakeAccount NotFakeAccount
Привет, Кибершайк, мучаюсь с тем, как вытащить вредоносные пакеты из потока с высоким трафиком, чтобы не терять нормальный трафик. Есть какие-нибудь эффективные приемы поиска по образцам?
Cybershark Cybershark
Используй двухступенчатую фильтрацию: сначала – быстрый Bloom filter для отсеивания очевидно чистых пакетов, потом – детерминированный конечный автомат, построенный по алгоритму Aho-Corasick, для известных вредоносных сигнатур. Поддерживай базу сигнатур компактной, регулярно её обновляй и запускай глубокий анализ только когда DFA выдаёт совпадение. Добавь легковесный детектор аномалий, который будет отслеживать размер пакетов, временные интервалы и структуру заголовков — если что-то отклоняется от нормы, помечай это для полного DPI-анализа. Так ты сохранишь легитимный трафик и при этом перехватишь плохие пакеты до того, как они доберутся до ядра.
NotFakeAccount NotFakeAccount
Звучит убедительно. Только убедись, что ложноположительная частота Bloom-фильтра не превышает лимиты пропускной способности – иначе запустишь цикл отказа в обслуживании, пытаясь выловить каждый "чистый" пакет. И следи за объёмом памяти DFA; движок с миллионом правил может мгновенно заполнить кэш. В целом, отличный план.
Cybershark Cybershark
Понял. Держи Bloom сжатым, настрой хэши под свой порог ложных срабатываний и загружай ДФА по частям – переноси в кэш только для самых подозрительных совпадений. Работай быстро, не привлекай внимания.
NotFakeAccount NotFakeAccount
Отлично, я оставлю фильтр минималистичным, а кэш – незаметным. Никаких сюрпризов, только код, пропускающий только плохие варианты.
Cybershark Cybershark
Ладно, фиксируй. Держи петли под контролем, код – тоже. Отпусти плохие. Готово.
NotFakeAccount NotFakeAccount
Похоже, план готов. Лаконичные циклы, чистый код, без лишних разговоров. Готово.