trên lỗi phf, công cụ quét NIDS phải tìm trên tất cả gói tin
    nhũng  phần  của  chuỗi  sau:  GET  /cgi-bin/phf?  Netvvork
    IDSs  sẽ  tìm  kiếm  trong tất cả các  dấu  hiệu  đã tồn  tại  để
    tìm  các  chuỗi  tìm  kiếm  trong các  gói  tin  mạng.  Ví  dụ,  dấu
    hiệu  Snort  sau  sẽ  thích  hỢp  với  chuỗi  trên:  alert  tcp
    $ẼXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS
    (msg:"WEB-CGIphf
        access";ílow:to_server,established;        uricontent:7phf;
    nocase; reference:bugtraq,629;
        reference:arachnids, 128;         reference:cve,CVE-1999-
    0067; classtype:web-application-
        activity; sid:886; rev:8;) và cảnh báo sẽ được gửi Chúng ta
    sẽ đề cập đầy đủ đến sự phát triển của Snort NIDS sau.


        Phát hiện những dấu hiệu bất thường
        Phát  hiện  những  dấu  hiệu  bất  thường  liên  quan  đến
    việc  thiết lập  một nền  móng cơ bản của  những hoạt  động
    bình  thường của hệ thống hoặc là các hành  vi trên  mạng,
    và  sau  đó  cảnh  báo  chúng  ta  khi  những  sự  trệch  hướng
    xuất hiện.  Lưu lượng trên  mạng thay đổi  một cách không
    đáng kể,  chẳng hạn như thay đổi trong thiết kế để hướng
    IDS  theo  định  dạng host -  base  nhiều  hơn  là  NIDS,  Tuy
    nhiên,  một  số  mạng  lại  có  những  cấu  trúc  thật  khác
    thường  đặc  biệt  là  những  mạng  quân  đội  hoặc  những
    mạng giao tiếp tình báo. Mặt khác,  những hành động xảy
    ra trong một server rất lốn có thể không thể kiểm soát hết
    được, do đó mà mạng trở nên rất hỗn loạn. Nên lưu ý rằng,
    thỉnh  thoảng  chúng  ta  muốh  tách  ròi  những  NIDS  dựa
    trên  những  sự  kiện  bất  thường  thành  những  sự  kiện
    chuyển  động  bất  thường  (bị  trệch  hưóng  từ  một  miêu  tả
    chuyển  động  đã  biết)  và  giao  thức  sự  kiện  bất  thường
    (trệch hướng từ các chuẩn giao thức mạng) .



                                                                   15