Здравствуйте господа програмисты на С/С++. Есть один вопрос, немного касающийся сетевого программирования. Мне необходимо написать прогу, которая с помощью правил нечеткой логики должна выявлять атаку на узел. Только вот проблема у меня, как у начинающего и тупого программиста заключается в том, что я абсолютно пока еще ничего не шарю в защите информации и ее реализации. Я написал прогу, которая сканит порты и печает содержимое приходящих пакетов на экран. Теперь не могу понять, от чего оттолкнуться и с чего начать, чтобы определить атаку на хост. Я предполагаю, что надо анализировать сигнатуру поступающей инфы, только вот правильна ли моя идея, точно не уверен. Может необходимо определять атаку по какому-то другому признаку, например в литературе пишут, что по времени жизни виртуального порта или по каким-либо другим признакам? Подскажите пожалуйста свое мнение.
Да, и еще, если необходимо анализировать сигнатуру, то где можно взять образцы сигнатур, содержащие атаки?

Заранее огромное СПАСИБО!

Если я не ошибаюсь, то фаирволы по назвнию пакета (НЕ ПО СОДЕРЖИМОМУ) реагируют, т.е титулы пакетов это и есть сигнатуры.

Ты определись, что тебе нужно - файрвол или антивирус. Это совершенно разные программы и смысл их работы тоже никоим образом не пересекается (кроме защиты пользователя, разве что).
Атак бывает куча. Например:
1. флуд - это куча маленьких пакетов, идущих непрерывно. Например, можешь использовать ping -f для создания флуда по ICMP запросу echo. Бывает еще syn flood - флуд SYN пакетами (протокол TCP). Может быть с одного IP, может быть с разных (с поддельных). Так как у злоумышленника нет задачи получить информацию, то он спокойно может подделывать свой IP адрес.
2. сканирование портов. Обычно, это делают с целью узнать о работающих сервисах. А так же иногда можно определить ОС на машине.

Линукс, если не ошибаюсь, умеет это все сам определять. man iptables.