遗留上下文
这些攻击对象和组旨在检测网络流量中的已知攻击模式和协议异常。您可以将旧上下文的攻击对象和组配置为 IDP 策略规则中的匹配条件。
服务环境:AIM
下表显示了 AIM 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
aim-auth-request-msg (ANY) |
在请求添加到好友列表的授权时,匹配从一个用户发送到另一个用户的消息。 |
AIM 身份验证请求消息 |
瞄准距离消息 (CTS) |
匹配当用户将状态更改为“离开”时发送给其他客户端的消息。 |
瞄准客场消息 |
目标伙伴评论(任何) |
匹配联系人列表中为好友存储的批注。 |
AIM好友评论 |
瞄准能力(任何) |
匹配客户端支持的功能集。 |
AIM能力 |
目标聊天信息 (STC) |
匹配有关聊天室的信息。 |
AIM聊天信息 |
目标聊天兴趣 (STC) |
匹配用户配置文件中的个人兴趣类别。 |
AIM聊天兴趣 |
aim-chat-room-desc (STC) |
匹配聊天室的说明。 |
AIM聊天室描述 |
目标聊天室名称 (STC) |
匹配 AIM/ICQ 会话中聊天室的名称。 |
AIM聊天室名称 |
aim-client-ip (STC) |
匹配客户端的 IP 地址以进行直接 P2P 通信。 |
AIM客户端IP |
目标客户端端口 (STC) |
匹配客户端侦听 P2P 通信的端口。 |
AIM客户端端口 |
目标客户端状态 (STC) |
匹配用户的联机状态。 |
AIM客户状态 |
目标-拒绝-原因(任何) |
匹配客户端拒绝添加到其他用户的联系人列表时的拒绝原因。 |
AIM拒绝原因 |
aim-descripted-url (ANY) |
将网页发送到其他地址时匹配说明和 URL。 |
AIM 描述的网址 |
目标-电子邮件地址 (STC) |
匹配配置文件中显示的用户电子邮件地址。 |
AIM电子邮件地址 |
aim-error-url (STC) |
匹配服务器上用户可以重新配置帐户密码的 URL。 |
AIM 错误网址 |
aim-gcard-message (any) |
匹配与贺卡关联的消息。 |
AIM贺卡消息 |
aim-gcard-recipient(任何) |
匹配贺卡收件人的屏幕名称。 |
AIM神卡收件人 |
aim-gcard-sender (ANY) |
匹配贺卡发件人的屏幕名称。 |
AIM Gcard Sender |
目标-gcard-theme (任何) |
匹配从一个客户端发送到另一个客户端的贺卡的主题。 |
AIM Gcard 主题 |
aim-gcard-title (ANY) |
匹配从一个用户发送到另一个用户的贺卡的标题。 |
AIM神卡标题 |
aim-gcard-url (ANY) |
匹配从一个用户发送到另一个用户的贺卡的 URL。 |
AIM Gcard 网址 |
瞄准获取文件 (STC) |
匹配用户从对等方传输的文件的名称。 |
瞄准获取文件 |
目标组(任何) |
匹配一组项(通常是好友)的名称。 |
AIM集团 |
目标信息文本 (STC) |
匹配用户配置文件中显示的其他信息文本。 |
AIM信息文本 |
aim-local-ip (CTS) |
匹配用于 P2P 通信的客户端的 IP 地址。 |
AIM本地IP |
瞄准本地端口 (CTS) |
匹配客户端侦听 P2P 通信的本地端口。 |
AIM本地端口 |
目标消息块(任何) |
匹配从一个用户发送到另一个用户的即时消息。 |
AIM消息块 |
目标消息描述(任何) |
匹配消息的说明。 |
AIM消息说明 |
目标昵称(任何) |
匹配 AIM/ICQ 用户的昵称。 |
AIM昵称 |
目标内容(任何) |
匹配在对等方之间传输的文件的内容。 |
AIM经常内容 |
目标名称(任何) |
匹配在对等方之间传输的文件的名称。 |
AIM经常名称 |
AIM-PEER-IP (STC) |
匹配对等方的 IP 地址以进行直接 P2P 通信。 |
AIM对等叶 |
瞄准对等端口 (STC) |
匹配对等方的端口以进行直接 P2P 通信。 |
AIM对等端口 |
瞄准放置文件 (CTS) |
匹配用户要传输到对等方的文件的名称。 |
AIM放置文件 |
瞄准屏幕名称(任何) |
匹配用户的屏幕名称。 |
AIM昵称 |
aim-server-ip (STC) |
匹配服务器的 IP 地址。通常在主服务器将客户端重定向到另一台服务器时使用。 |
AIM服务器IP |
aim-server-url (STC) |
匹配服务器上的任何 URL。 |
AIM服务器网址 |
目标网址(任何) |
匹配用户配置文件的 URL。 |
目标网址 |
aim-xml-value (STC) |
将服务器发送的 XML 字符串与请求的 URL 的值匹配。 |
AIM XML 值 |
服务上下文:手指
下表显示了 Finger 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
手指主机 (CTS) |
匹配 FINGER 请求中的每个主机名。  |
|||
finger-s2c-data (STC) |
手指-S2C-数据 |
|||
手指用户 (CTS) |
匹配 FINGER 请求中的用户名。  |
|||
服务上下文:格努泰拉
下表显示了 Gnutella 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
gnutella-connect-fail-reason (STC) |
匹配 Gnutella 连接中的连接失败原因字符串。 |
GNUTELLA 连接失败原因 |
gnutella-connect-header (ANY) |
匹配 Gnutella 会话中 HTTP 样式连接消息的内容。 |
GNUTELLA Connect Header |
gnutella-http-get-filename (CTS) |
匹配客户端要检索的文件的名称。 |
GNUTELLA Http 获取文件名 |
gnutella-http-header (ANY) |
匹配 Gnutella 会话中的任何 HTTP 样式标头。 |
GNUTELLA Http 标头 |
gnutella-queryhit-vendor (STC) |
匹配 QUERYHIT 消息回复中的 4 字节供应商代码。 |
GNUTELLA Queryhit 供应商 |
gnutella-search-criteria (CTS) |
匹配 Gnutella 会话的 QUERY 消息中的搜索条件。 |
GNUTELLA 搜索条件 |
gnutella-user-agent (ANY) |
匹配 Gnutella 会话中用户代理的名称。 |
GNUTELLA 用户代理 |
服务上下文:地鼠
下表显示了 Gopher 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
地鼠显示 (STC) |
匹配 Gopher 项的显示字符串。 |
地鼠显示器 |
地鼠文件 (STC) |
匹配 Gopher 项/文件的内容。 |
地鼠档案 |
gopher-host-port (STC) |
匹配用于获取项目的主机和端口。 |
GOPHER 主机端口 |
地鼠选择器 (STC) |
匹配 Gopher 项的选择器字符串。 |
地鼠选择器 |
服务环境:IEC
下表显示了 IEC 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
IEC104-message-type-i (any) |
匹配 IEC104 的 I 类消息。 |
IEC104 消息类型 I |
IEC104-message-type-s (any) |
匹配 IEC104 的 S 类消息。 |
IEC104 消息类型 S |
IEC104-message-type-u (ANY) |
匹配 IEC104 的 U 类消息。 |
IEC104 消息类型 U |
服务上下文:IRC
下表显示了 IRC 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
irc-command (ANY) |
匹配任何 IRC 命令名称。  |
|||
irc-join-chan (任何) |
匹配 IRC 会话的 JOIN 命令中的通道名称。  |
|||
irc-昵称(任何) |
匹配 IRC 会话的 NICK 命令中的名称。  |
|||
IRC-notice-msg (任何) |
匹配 IRC 会话的 NOTICE 命令中的消息。  |
|||
irc-oper-name (ANY) |
匹配 IRC 会话的 OPER 命令中的名称。 |
|||
irc-oper-password (ANY) |
匹配 IRC 会话的 OPER 命令中的密码。 |
|||
IRC-part-chan (任何) |
匹配 IRC 会话的 PART 命令中的通道名称。 |
|||
IRC 密码(任何) |
匹配 IRC 会话的 PASS 命令中的密码。 |
|||
irc-priv-msg (ANY) |
匹配 IRC 会话的 PRIVMSG 命令中的消息。  |
|||
IRC 实名 (任何) |
匹配 IRC 会话的 USER 命令中的真实名称。  |
|||
IRC 主题 (任何) |
匹配 IRC 会话的 TOPIC 命令的参数。 |
|||
irc-user-name (any) |
匹配 IRC 会话的 USER 命令中的名称。  |
|||
服务环境:LPR
下表显示了 LPR 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
lpr-cfile-command (CTS) |
匹配整个 CFILE 子命令行,包括子命令类型的第一个字节。 |
|||
lpr-cfile-name (CTS) |
匹配作为 RECEIVE-JOB 命令的一部分发送的控制文件名的名称。 |
|||
lpr-command (CTS) |
匹配整个命令行,包括命令代码的第一个字节。  |
|||
lpr-dfile-name (CTS) |
匹配作为接收作业命令的一部分发送的数据文件名的名称。 |
|||
服务上下文:MSN
下表显示 MSN 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
msn-addrbook-url (STC) |
匹配用户通讯簿的 URL。 |
MSN 地址簿网址 |
msn-compose-url (STC) |
匹配用于撰写电子邮件的 URL。 |
MSN 撰写网址 |
msn 显示名称(任何) |
匹配用户的显示名称。 |
MSN 显示名称 |
msn-get-file (STC) |
匹配客户端从对等方下载的文件的名称。 |
MSN 获取文件 |
MSN 组名称(任何) |
匹配一组联系人的姓名。 |
MSN 组名称 |
msn-inbox-url (STC) |
匹配用户收件箱的 URL。 |
MSN 收件箱网址 |
MSN-ip-port (STC) |
匹配交换机服务器的地址和端口。 |
MSN IP 端口 |
MSN 消息(任何) |
匹配即时消息文本。 |
MSN 消息 |
msn-message-application (ANY) |
匹配应用程序消息的行(如文件传输)。 |
MSN 消息应用程序 |
msn-message-email-notification (STC) |
匹配服务器发送的用于通知客户端有新电子邮件或未读电子邮件的行。 |
MSN 消息电子邮件通知 |
msn-message-header (ANY) |
匹配即时消息的标题行。 |
MSN 消息头 |
MSN 消息配置文件 (STC) |
匹配包含邮件发件人配置文件的行。 |
MSN 消息配置文件 |
msn-passport-url (STC) |
匹配登录护照 URL。 |
MSN 护照网址 |
MSN 电话号码(任何) |
匹配用户的电话号码。 |
MSN 电话号码 |
msn-png-chunk (ANY) |
匹配 MSN 事务中 PNG 区块的内容。 |
MSN PNG 区块 |
msn-profile-url (STC) |
匹配用户护照个人资料的 URL。 |
MSN 配置文件 URL |
MSN-put-file (CTS) |
匹配客户端要发送给对等方的文件的名称。 |
MSN 放置文件 |
MSN 登录名称(任何) |
匹配用户的屏幕名称(登录名)。 |
MSN 登录名 |
msn-url (STC) |
匹配 MSN 会话中的任何 URL |
MSN 网址 |
MSN 用户状态(任何) |
匹配用户的联机状态。 |
MSN 用户状态 |
服务上下文:NNTP
下表显示了 NNTP 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
nntp-banner (STC) |
匹配 NNTP 横幅。  |
|||
nntp-body (ANY) |
匹配 NNTP 消息正文的每一行。  |
|||
nntp-cmd-line (CTS) |
匹配整个 NNTP 命令行。  |
|||
nntp-header (ANY) |
匹配 NNTP 会话中的任何标头。  |
|||
nntp-ihave-msgid (CTS) |
匹配 NNTP 会话的 IHAVE 命令中显示的消息 ID。 |
|||
nntp 模式 (CTS) |
匹配 NNTP 模式。  |
|||
nntp-msgid (ANY) |
匹配 NNTP 会话的各种命令中显示的消息 ID。  |
|||
nntp-newsgroup (ANY) |
匹配 NNTP 会话中新闻组的名称。 |
|||
服务上下文:REXEC
下表显示了 REXEC 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
rexec-remote-command (CTS) |
匹配 REXEC 会话中的远程命令。 |
REXEC 远程命令 |
rexec-remote-user (CTS) |
匹配 REXEC 会话中的远程用户名。 |
REXEC 远程用户名 |
服务上下文:RLOGIN
下表显示了 RLOGIN 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
rlogin-local-user (CTS) |
匹配 RLOGIN 会话中的本地用户名。  |
|||
远程登录用户 (CTS) |
匹配 RLOGIN 会话中的远程用户名。  |
|||
服务环境:RSH
下表显示了 RSH 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
rsh-local-user (CTS) |
匹配 RSH 会话中的本地用户名。  |
|||
rsh-remote-command (CTS) |
匹配 RSH 会话中的远程命令。  |
|||
rsh-remote-user (CTS) |
匹配 RSH 会话中的远程用户名。  |
|||
服务上下文:RUSERS
下表显示了 RUSERS 的安全上下文详细信息:
背景和方向 |
描述 |
显示名称 |
|---|---|---|
rusers-device (STC) |
匹配 RUSERS 会话中的设备名称。 |
RUSERS 设备 |
rusers-host (STC) |
匹配 RUSERS 会话中的主机名称。 |
RUSERS 主机 |
用户-用户 (STC) |
匹配 RUSERS 会话中的用户名。 |
用户 |
服务上下文:TNS
下表显示 TNS 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
tns-accept-section (STC) |
匹配 TNS 会话中的“接受”部分数据。 |
|||
tns-connect-addr-dev (CTS) |
匹配 TNS 会话中的连接地址开发。 |
|||
tns-connect-addr-host (CTS) |
匹配 TNS 会话中的连接地址主机。 |
|||
tns-connect-addr-key (CTS) |
匹配 TNS 会话中的连接地址密钥。 |
|||
tns-connect-addr-port (CTS) |
匹配 TNS 会话中的连接地址端口。 |
|||
tns-connect-addr-proto (CTS) |
匹配 TNS 会话中的连接地址协议。 |
|||
tns-connect-cid-host (CTS) |
匹配 TNS 会话中的连接数据 CID 主机。 |
|||
tns-connect-cid-user (CTS) |
匹配 TNS 会话中的连接数据 CID 用户。 |
|||
tns-connect-data-cid-prog (CTS) |
匹配 TNS 会话中的连接数据 CID 程序。 |
|||
tns-connect-data-sid (CTS) |
匹配 TNS 会话中的连接数据 SID。 |
|||
tns-connect- data-svcname (CTS) |
匹配 TNS 会话中的连接数据服务名称。 |
|||
tns-connect-section (CTS) |
匹配 TNS 会话中的连接部分数据。  |
|||
tns-data-flags (ANY) |
匹配 TNS 会话中数据节的 2 个字节标志 |
|||
tns-data-section (ANY) |
匹配 TNS 会话中的数据节数据。 |
|||
tns-message-body (ANY) |
匹配 TNS 会话中的任何消息正文。  |
|||
TNS 消息类型(任何) |
匹配 TNS 会话中的消息类型。  |
|||
TNS 序言(任何) |
匹配 TNS 消息的前 8 个字节。 |
|||
tns-redirect-section (STC) |
匹配 TNS 会话中的重定向部分。 |
|||
服务环境:YMSG
下表显示了 YMSG 的安全上下文详细信息:
背景和方向 |
描述 上下文示例 |
|||
|---|---|---|---|---|
YMSG 别名(任意) |
匹配与主用户名关联的备用名称。 |
|||
YMSG-buddy-name (ANY) |
匹配好友列表上显示的用户的名称。 |
|||
YMSG-chatroom-chatter (ANY) |
匹配参与聊天会话的用户的名称 |
|||
YMSG-chatroom-inviitee (ANY) |
匹配受邀加入聊天室的用户的名称。 |
|||
YMSG-chatroom-message (ANY) |
匹配聊天室中交换的消息。 |
|||
YMSG-chatroom-name (ANY) |
匹配 YMSG 会话中的聊天室名称。 |
|||
ymsg-conf-host (ANY) |
匹配主持会议的用户的名称。 |
|||
YMSG-conf-inviitee (ANY) |
匹配受邀参加会议的用户的姓名。 |
|||
ymsg-conf-join-msg (ANY) |
匹配作为会议邀请的一部分发送的消息的内容。 |
|||
YMSG-conf-name (ANY) |
匹配会议会话的名称。 |
|||
ymsg-config-url (STC) |
匹配禁用帐户后用户可以在其中配置密码的 URL。 |
|||
YMSG-联系人-姓名(任何) |
匹配好友列表或邀请中的联系人姓名。 |
|||
YMSG 组名称(任何) |
匹配用于对好友进行分类的组的名称。 |
|||
YMSG 标头(任何) |
匹配协议标头中的数据。  |
|||
ymsg-ignored-user (ANY) |
匹配要添加到忽略的用户列表或显示在忽略的用户列表中的用户的名称。 |
|||
YMSG-mail-sender (STC) |
匹配发送电子邮件的用户的名称。 |
|||
YMSG-mail- 发件人地址 (STC) |
匹配发件人的电子邮件地址。 |
|||
YMSG-mail-subject (STC) |
匹配电子邮件主题。 |
|||
ymsg-main-identity (ANY) |
匹配用户的主标识名称。 |
|||
YMSG 消息(任何) |
匹配从一个客户端发送到另一个客户端的即时消息。  |
|||
ymsg-message-server- filename-url (STC) |
将消息与客户端上的文件名匹配,服务器可以从该文件下载并传输到对等方。 |
|||
YMSG-昵称(任何) |
匹配用户的昵称。 |
|||
ymsg-p2p- get-filename (STC) |
匹配可从中下载文件的对等方上的文件名。  |
|||
ymsg-p2p-get-filename-url (STC) |
匹配可从中下载文件的对等方上的文件位置。 |
|||
ymsg-p2p-put-filename (CTS) |
匹配客户端上其他对等方可以下载的文件的名称。  |
|||
ymsg-p2p- put-filename-url (CTS) |
匹配客户端上其他对等方可从中下载的文件的位置。 |
|||
YMSG-收件人(任何) |
匹配邮件或文件收件人的身份。 |
|||
YMSG 发件人(任何) |
匹配邮件或文件发件人的身份。 |
|||
ymsg-server- get-filename-url (STC) |
匹配客户端上文件的位置,服务器可从该文件下载并传输到对等方。 |
|||
YMSG-system- 消息 (STC) |
匹配从服务器发送到客户端的消息的内容。 |
|||
YMSG 用户名(任意) |
匹配登录用户的身份或用户的别名之一。  |
|||