防火墙的策略侦查:①区域增长法:假定防火墙默认对包设置“禁止”的。他们试着去找到一个可以通过防火墙过滤的包,也就是”允许“规则。从这个规则中,这个方法在每个维度中搜索,比如IP地址,都会引起指数式地搜索。无论”禁止“规则什么时候出现,查询就会停止。指数式搜索法之后出现了二分搜索来得到准确的”允许“规则边界。一旦找到规则空间,这个方法将会递归地遍历除”许可“规则空间外的空间。最后,这个方法会在时间限制或者攻击者需发送的包的最大数量来停止。但是,识别”允许“规则的错误率会超过12%。②拆分与合并法:这个方法的提出最初用于图像分割。首先,它将整个规则区域看做R,它仅包含”否定“规则。然后,它将R分割为不重叠的子区域(子规则)。基于特定的标准R1、R2、、、Rn。之后,在每个子区域执行预测评估它是否包含”拒绝“或”允许“规则。如果预测是一个“许可”的子区域,这个子区域将会合并到其他的“许可”区域。合并步骤持续传播到整个区域。识别规则错误率在16%左右。③混合法:Ali提出了将区域增长法与拆分合并法结合在一起的混合方法。有两步,首先,它将规则空间分割成最大的勘探区,然后每个区域都使用区域增长来找到规则边界。探测包的最大数量是用户定义的。作者证明了这种混合方法可以利用之前的方法,但探测器的错误警报率高得令人无法接受,在某些情况下, 超过40%。这种结合一起只在特定环境中起作用。④线性扫描法:Kim提出线性扫描法来探测防火墙。他的功能是快速检测识别垂直扫描攻击。它的搜索空间在n维空间中仅有n-1个维度。该算法生成的数据包覆盖扫描线,该扫描线具有45°的空间角度。在完成第一条线,它将持续生成其他的线和包来覆盖该线,直到所有的空间都已经搜索完成。它的结果反映了内边界与外边界规则的差异是很难识别的。 防火墙的策略侦查:①区域增长法:假定防火墙默认对包设置“禁止”的。他们试着去找到一个可以通