【正文】 利用Petri網(wǎng)的有利之處在于它能一般化、圖形化地表達(dá)狀態(tài)，并且簡(jiǎn)潔明了。另外，這種檢測(cè)方法也減少了需要處理的數(shù)據(jù)量，因?yàn)樗紫劝茨_本類型檢測(cè)相應(yīng)類型是否出現(xiàn)，然后再檢測(cè)具體的事件。根據(jù)這些知識(shí)建立攻擊腳本庫(kù)，每一腳本都由一系列攻擊行為組成。因?yàn)檫@些缺陷，專家系統(tǒng)一般不用于商業(yè)產(chǎn)品中，運(yùn)用較多的是特征分析。主要缺陷在于與具體系統(tǒng)依賴性太強(qiáng)，不但系統(tǒng)移植性不好，維護(hù)工作量大，而且將具體入侵手段抽象成知識(shí)也很困難。基于神經(jīng)網(wǎng)絡(luò)的檢測(cè)思想可用下圖表示：圖4－2 神經(jīng)網(wǎng)絡(luò)檢測(cè)思想圖中輸入層的W個(gè)箭頭代表了用戶最近的W個(gè)命令，輸出層預(yù)測(cè)用戶將要發(fā)生的下一個(gè)動(dòng)作。但也有一些不足之處，如：統(tǒng)計(jì)檢測(cè)對(duì)事件發(fā)生的次序不敏感，也就是說(shuō)，完全依靠統(tǒng)計(jì)理論可能漏檢那些利用彼此關(guān)聯(lián)事件的入侵行為?！　∵@些變量所記錄的具體操作包括：CPU 的使用，I/O 的使用，使用地點(diǎn)及時(shí)間，郵件使用，編輯器使用，編譯器使用，所創(chuàng)建、刪除、訪問(wèn)或改變的目錄及文件，網(wǎng)絡(luò)上活動(dòng)等。但因?yàn)椴豢赡軐?duì)整個(gè)系統(tǒng)內(nèi)的所有用戶行為進(jìn)行全面的描述，況且每個(gè)用戶的行為是經(jīng)常改變的，所以它的主要缺陷在于誤檢率很高。許多黑客用來(lái)收集用戶ID和密碼的嗅探器程序就是拉結(jié)構(gòu)。如果檢測(cè)器對(duì)每一個(gè)檢測(cè)到的事件都產(chǎn)生一個(gè)數(shù)據(jù)包，并且檢測(cè)器是可以觀測(cè)到的，那么很容易判斷出檢測(cè)器是如何配置的。按時(shí)間設(shè)置以分析為依據(jù)設(shè)置原始數(shù)據(jù)應(yīng)該保存的時(shí)間，而按存儲(chǔ)容量是以保證檢索性能為前提來(lái)配置系統(tǒng)。 原始數(shù)據(jù)數(shù)據(jù)庫(kù)：原始數(shù)據(jù)數(shù)據(jù)庫(kù)中存儲(chǔ)了近一段時(shí)間的高保真數(shù)據(jù)，這些數(shù)據(jù)包括源IP地址、目標(biāo)IP地址、原始數(shù)據(jù)、欺騙包的特征、新的攻擊特征、最后一次見到的時(shí)間等?？梢酝ㄟ^(guò)用戶設(shè)定一個(gè)實(shí)時(shí)性要求參數(shù)、根據(jù)需要載入數(shù)據(jù)庫(kù)的原始數(shù)據(jù)的速度來(lái)自動(dòng)調(diào)節(jié)每次提交的數(shù)量。主要原因是在數(shù)據(jù)載入數(shù)據(jù)庫(kù)后，要在正把該數(shù)據(jù)寫到數(shù)據(jù)庫(kù)的物理存儲(chǔ)中，就必須調(diào)用提交命令(mit)。現(xiàn)有的數(shù)據(jù)庫(kù)系統(tǒng)都支持SQL查詢，它對(duì)搜索的封裝使得分析系統(tǒng)可以使用通用的接口。因?yàn)橹鳈C(jī)網(wǎng)絡(luò)接口檢測(cè)器監(jiān)測(cè)的是一個(gè)主機(jī)上的通信，而不是網(wǎng)絡(luò)中的所有通信。2. 加密數(shù)據(jù)。他檢測(cè)本地主機(jī)的網(wǎng)絡(luò)通信情況，將基于網(wǎng)絡(luò)的入侵檢測(cè)技術(shù)應(yīng)用于主機(jī)上，由于它只檢測(cè)和分析與本地主機(jī)相關(guān)的通信，所以檢測(cè)的代價(jià)比較小。如果WEB服務(wù)的主頁(yè)文件被更改，幾乎可以肯定發(fā)生了攻擊。主機(jī)代理分為日志分析、文件檢測(cè)、主機(jī)網(wǎng)絡(luò)接口檢測(cè)、用戶行為監(jiān)測(cè)及管理模塊和安全通信。每個(gè)在系統(tǒng)上執(zhí)行的程序由一到多個(gè)進(jìn)程來(lái)實(shí)現(xiàn)。日志中包含發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動(dòng)的證據(jù)，這些證據(jù)可以指出有人正在入侵或己成功入侵了系統(tǒng)。引擎管理：代理管理部分負(fù)責(zé)網(wǎng)絡(luò)引擎中各部分的協(xié)調(diào)和配置。使用了快速的模式匹配算法，所有的攻擊方法被表示為模式信號(hào)存放在入侵特征數(shù)據(jù)庫(kù)中，當(dāng)前的數(shù)據(jù)如果和數(shù)據(jù)庫(kù)中某種特征匹配，就指出這是這種入侵行為。一個(gè)數(shù)據(jù)分析函數(shù)一般可以檢查一種協(xié)議的一類型入侵，這樣可以方便的進(jìn)行配置。樹的結(jié)點(diǎn)數(shù)據(jù)結(jié)構(gòu)中應(yīng)包含以下信息：該協(xié)議的特征、協(xié)議名稱、協(xié)議代號(hào)，下級(jí)協(xié)議代號(hào)，協(xié)議對(duì)應(yīng)的數(shù)據(jù)分析函數(shù)鏈表。數(shù)據(jù)包監(jiān)聽設(shè)備驅(qū)動(dòng)程序支持BPF過(guò)濾機(jī)制，可以靈活地設(shè)置過(guò)濾規(guī)則。由于效率的需要，有時(shí)要根據(jù)設(shè)置過(guò)濾網(wǎng)絡(luò)上的一些數(shù)據(jù)包，如特定IP，特定MAC地址、特定協(xié)議的數(shù)據(jù)包。因此系統(tǒng)跳過(guò)的15到24字節(jié)直接讀取第四層協(xié)議標(biāo)識(shí)：06，這個(gè)數(shù)據(jù)包是TCP協(xié)議?？墒蔷W(wǎng)絡(luò)通信協(xié)議是一個(gè)高度格式化的、具有明確含義和取值的數(shù)據(jù)流，如果將協(xié)議分析和模式匹配方法結(jié)合起來(lái)，可以獲得更好的效率、更精確的結(jié)果。AF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456為監(jiān)聽到的網(wǎng)絡(luò)數(shù)據(jù)包，對(duì)于攻擊模式“GET /cgibin/./phf”，首先從數(shù)據(jù)包頭部開始比較：GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456比較不成功，移動(dòng)一個(gè)字節(jié)重新比較/cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456還是不成功，再移動(dòng)一次:GET /cgibin/./phfAF7*Hy289s820800B9v5yt$0611tbhk76500801293ugdB2%00397e3912345678901234567890123456789012345678901234567890123456重復(fù)比較，沒(méi)有一次匹配成功。 檢測(cè)匹配方法的改進(jìn)模式匹配是第一代和第二代入侵檢測(cè)系統(tǒng)所使用的基于攻擊特征的網(wǎng)絡(luò)數(shù)據(jù)包分析技術(shù)。缺點(diǎn)：必須與其他廠商緊密合作，且會(huì)降低網(wǎng)絡(luò)性能。對(duì)于交換式以太網(wǎng)交換機(jī)，問(wèn)題則會(huì)變得復(fù)雜。許多入侵檢測(cè)系統(tǒng)都可以在不同位置支持機(jī)構(gòu)，這些檢測(cè)器可能在：l 與你有直接聯(lián)系的合伙人和經(jīng)常在防火墻內(nèi)的供應(yīng)商處；l 高價(jià)值的地方，比如研究或會(huì)計(jì)網(wǎng)絡(luò)；l 有大量不穩(wěn)定雇員（例如顧問(wèn)或臨時(shí)職員）的地方；l 已被外部人員當(dāng)作目標(biāo)的子網(wǎng)或是已有跡象顯示有入侵和其他非法活動(dòng)的子網(wǎng)。3. 防火墻內(nèi)外都有檢測(cè)器 “越多越好”、“各有優(yōu)勢(shì)”你可能聽過(guò)這類口號(hào)。這種安排使檢測(cè)器可以看見所有來(lái)自Internet 的攻擊，然而如果攻擊類型是TCP攻擊，而防火墻或過(guò)濾路由器能封鎖這種攻擊，那么入侵檢測(cè)系統(tǒng)可能就檢測(cè)不到這種攻擊的發(fā)生。 系統(tǒng)部署對(duì)于一個(gè)小型的網(wǎng)絡(luò)，一般把分析系統(tǒng)、存儲(chǔ)系統(tǒng)和控制臺(tái)安裝在同一個(gè)計(jì)算機(jī)上，這既是從系統(tǒng)成本上考慮，也可以增加整個(gè)系統(tǒng)的反應(yīng)速度。分析系統(tǒng)是整個(gè)入侵檢測(cè)系統(tǒng)的大腦，分析方法則是該系統(tǒng)的思維能力。但他們也具有數(shù)據(jù)分析功能，對(duì)于已知的攻擊，在這些部件中所用模式匹配的方法來(lái)檢測(cè)可以大大提高系統(tǒng)的處理速度，也可以減少分析部件的工作量及系統(tǒng)網(wǎng)絡(luò)傳輸?shù)挠绊?。系統(tǒng)中的部件(Component)是具有特定功能的獨(dú)立的應(yīng)用程序、小型的系統(tǒng)或者僅僅是一個(gè)非獨(dú)立的應(yīng)用程序的功能模塊。適應(yīng)性要求：入侵檢測(cè)系統(tǒng)必須能夠適用于多種不同的環(huán)境，比如高速大容量計(jì)算機(jī)網(wǎng)絡(luò)環(huán)境，并且在系統(tǒng)環(huán)境發(fā)生改變，比如增加環(huán)境中的計(jì)算機(jī)系統(tǒng)數(shù)量，改變計(jì)算機(jī)系統(tǒng)類型時(shí)，入侵檢測(cè)系統(tǒng)應(yīng)當(dāng)依然能夠不作改變正常工作。比如，一個(gè)網(wǎng)絡(luò)中每?jī)蓚€(gè)小時(shí)自動(dòng)運(yùn)行一次漏洞掃描程序，如果他們不能夠互操作，入侵檢測(cè)系統(tǒng)將每?jī)蓚€(gè)小時(shí)產(chǎn)生一次警報(bào)。但現(xiàn)在很多入侵檢測(cè)系統(tǒng)沒(méi)有提供了某種如“推技術(shù)”的方法來(lái)時(shí)刻更新攻擊特征。且常用日志來(lái)簡(jiǎn)單的指代事件數(shù)據(jù)庫(kù)。 CIDF模型Common Intrusion Detection Framework (CIDF)闡述了一個(gè)入侵檢測(cè)系統(tǒng)（IDS）的通用模型。根據(jù)假設(shè)的攻擊腳本，這種系統(tǒng)就能檢測(cè)出非法的用戶行為。3．基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)進(jìn)行安全檢測(cè)工作自動(dòng)化的另外一個(gè)值得重視的研究方向就是基于專家系統(tǒng)的攻擊檢測(cè)技術(shù)，即根據(jù)安全專家對(duì)可疑行為的分析經(jīng)驗(yàn)來(lái)形成一套推理規(guī)則，然后再在此基礎(chǔ)之上構(gòu)成相應(yīng)的專家系統(tǒng)。系統(tǒng)應(yīng)具備處理自適應(yīng)的用戶參數(shù)的能力。對(duì)于基于模式匹配的檢測(cè)技術(shù)來(lái)說(shuō)，首先要定義違背安全策略的事件的特征，如網(wǎng)絡(luò)數(shù)據(jù)包的某些頭信息。而基于主機(jī)的系統(tǒng)無(wú)法看到負(fù)載，因此也無(wú)法識(shí)別嵌入式的負(fù)載攻擊。與之相比，基于主機(jī)的系統(tǒng)必須在特定的、沒(méi)有遭到破壞的操作系統(tǒng)中才能正常工作，生成有用的結(jié)果。l 較少的監(jiān)測(cè)器 由于使用一個(gè)監(jiān)測(cè)器就可以保護(hù)一個(gè)共享的網(wǎng)段，所以你不需要很多的監(jiān)測(cè)器。 基于網(wǎng)絡(luò)的IDS有許多僅靠基于主機(jī)的入侵檢測(cè)法無(wú)法提供的功能。某些加密方式也向基于網(wǎng)絡(luò)的入侵檢測(cè)發(fā)出了挑戰(zhàn)。這些使得基于主機(jī)的系統(tǒng)效率很高。基于主機(jī)的IDS還可審計(jì)能影響系統(tǒng)記錄的校驗(yàn)措施的改變。配置一個(gè)入侵監(jiān)測(cè)系統(tǒng)要花費(fèi)$10,000以上，而基于主機(jī)的入侵檢測(cè)系統(tǒng)對(duì)于單獨(dú)－代理標(biāo)價(jià)僅幾百美元，并且客戶只需很少的費(fèi)用用于最初的安裝?；谥鳈C(jī)的IDS在發(fā)展過(guò)程中融入了其它技術(shù)。1．基于主機(jī)的入侵檢測(cè)系統(tǒng)基于主機(jī)的入侵檢測(cè)出現(xiàn)在80年代初期，那時(shí)網(wǎng)絡(luò)還沒(méi)有今天這樣普遍、復(fù)雜，且網(wǎng)絡(luò)之間也沒(méi)有完全連通。但迄今為止，軟件工程技術(shù)還沒(méi)有達(dá)到A2級(jí)所要求的形式生成或證明一個(gè)系統(tǒng)的安全體系的程度，所以不可能百分之百地保證任何一個(gè)系統(tǒng)（尤其是底層系統(tǒng)）中不存在安全漏洞。防火墻的安全策略無(wú)法進(jìn)行集中管理。其次，防火墻策略對(duì)于防范黑客有其明顯的局限性[4]。但是隨著網(wǎng)絡(luò)的深入發(fā)展，這個(gè)標(biāo)準(zhǔn)已經(jīng)不能完全適應(yīng)當(dāng)前的技術(shù)需要，因?yàn)檫@個(gè)主要基于HostTerminal環(huán)境的靜態(tài)安全模型和標(biāo)準(zhǔn)無(wú)法完全反應(yīng)分布式、動(dòng)態(tài)變化、發(fā)展迅速的Internet安全問(wèn)題。換句話說(shuō)，系統(tǒng)性能的提高，用戶雖然摸不到，但卻是可以看到的。 其中ISS公司的RealSecured的智能攻擊識(shí)別技術(shù)是當(dāng)前IDS系統(tǒng)中最為先進(jìn)的。從網(wǎng)絡(luò)安全立體縱深、多層次防御的角度出發(fā)，入侵檢測(cè)理應(yīng)受到人們的高度重視，這從國(guó)外入侵檢測(cè)產(chǎn)品市場(chǎng)的蓬勃發(fā)展就可以看出。作者簽名： 日期： 年 月 日學(xué)位論文版權(quán)使用授權(quán)書本學(xué)位論文作者完全了解學(xué)校有關(guān)保留、使用學(xué)位論文的規(guī)定，同意學(xué)校保留并向國(guó)家有關(guān)部門或機(jī)構(gòu)送交論文的復(fù)印件和電子版，允許論文被查閱和借閱。 pattern match畢業(yè)設(shè)計(jì)（論文）原創(chuàng)性聲明和使用授權(quán)說(shuō)明原創(chuàng)性聲明本人鄭重承諾：所呈交的畢業(yè)設(shè)計(jì)（論文），是我個(gè)人在指導(dǎo)教師的指導(dǎo)下進(jìn)行的研究工作及取得的成果。入侵檢測(cè)技術(shù)是繼“防火墻”、“數(shù)據(jù)加密”等傳統(tǒng)安全保護(hù)措施后新一代的安全保障技術(shù)。同時(shí)改進(jìn)了匹配算法，使得網(wǎng)絡(luò)引擎具有更好的實(shí)時(shí)性能。除了文中特別加以標(biāo)注引用的內(nèi)容外，本論文不包含任何其他個(gè)人或集體已經(jīng)發(fā)表或撰寫的成果作品。PDR2表示Protection、Detection、Recovery和Response，即保護(hù)、檢測(cè)、恢復(fù)和響應(yīng)。我們的目標(biāo)是設(shè)計(jì)一個(gè)分布式的入侵檢測(cè)系統(tǒng)，它具有可擴(kuò)展性、跨平臺(tái)性、安全性和開放性，并實(shí)現(xiàn)了其中的網(wǎng)絡(luò)引擎部分。信息安全是一種很難量化的概念，我們可以把信息系統(tǒng)的“性能”與“安全”做一個(gè)簡(jiǎn)單的對(duì)比。實(shí)際上，安全就是防范潛在的危機(jī)。這樣的檢測(cè)機(jī)制對(duì)保證大壩的安全至關(guān)重要。而據(jù)權(quán)威部門統(tǒng)計(jì)結(jié)果表明，網(wǎng)絡(luò)上的安全攻擊事件有70%以上來(lái)自內(nèi)部攻擊。.防火墻只實(shí)現(xiàn)了粗粒度的訪問(wèn)控制。 入侵檢測(cè)系統(tǒng)入侵檢測(cè)具有監(jiān)視分析用戶和系統(tǒng)的行為、審計(jì)系統(tǒng)配置和漏洞、評(píng)估敏感系統(tǒng)和數(shù)據(jù)的完整性、識(shí)別攻擊行為、對(duì)異常行為進(jìn)行統(tǒng)計(jì)、自動(dòng)地收集和系統(tǒng)相關(guān)的補(bǔ)丁、進(jìn)行審計(jì)跟蹤識(shí)別違反安全法規(guī)的行為、使用誘騙服務(wù)器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計(jì)、評(píng)估自己的系統(tǒng)。通常，基于主機(jī)的IDS可監(jiān)測(cè)系統(tǒng)、事件和Window NT下的安全記錄以及UNIX環(huán)境下的系統(tǒng)記錄。盡管基于主機(jī)的入侵檢查系統(tǒng)不如基于網(wǎng)絡(luò)的入侵檢查系統(tǒng)快捷，但它確實(shí)具有基于網(wǎng)絡(luò)的系統(tǒng)無(wú)法比擬的優(yōu)點(diǎn)?；谥鳈C(jī)技術(shù)還可監(jiān)視通常只有管理員才能實(shí)施的非正常行為。l 易于用戶剪裁 每一個(gè)主機(jī)有其自己的代理，當(dāng)然用戶剪裁更方便了。所以從覆蓋足夠大的網(wǎng)絡(luò)范圍的角度出發(fā)，很難確定配置基于網(wǎng)絡(luò)的IDS的最佳位置?；诰W(wǎng)絡(luò)的IDS通常利用一個(gè)運(yùn)行在隨機(jī)模式下網(wǎng)絡(luò)的適配器來(lái)實(shí)時(shí)監(jiān)視并分析通過(guò)網(wǎng)絡(luò)的所有通信業(yè)務(wù)?；诰W(wǎng)絡(luò)的監(jiān)視器不運(yùn)行其他的應(yīng)用程序，不提供網(wǎng)絡(luò)服務(wù)，可以不響應(yīng)其他計(jì)算機(jī)。被捕獲的數(shù)據(jù)不僅包括的攻擊的方法，而且還包括可識(shí)別黑客身份和對(duì)其進(jìn)行起訴的信息?；诰W(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)通過(guò)檢查所有的數(shù)據(jù)包的包頭（header）來(lái)進(jìn)行檢測(cè)，而基于主機(jī)的入侵檢測(cè)系統(tǒng)并不查看包首標(biāo)。相信未來(lái)的集成化的入侵檢測(cè)產(chǎn)品不僅功能更加強(qiáng)大，而且部署和使用上也更加靈活方便。按照所使用的分析方法，可以分為以下幾種入侵檢測(cè)系統(tǒng)：1． 基于審計(jì)的攻擊檢測(cè)基于審計(jì)信息的攻擊檢測(cè)工具以及自動(dòng)分析工具可以向系統(tǒng)安全管理員報(bào)告計(jì)算機(jī)系統(tǒng)活動(dòng)的評(píng)估報(bào)告，通常是脫機(jī)的、滯后的。錯(cuò)發(fā)的警報(bào)往往來(lái)自于對(duì)審計(jì)數(shù)據(jù)的統(tǒng)計(jì)算法所基于的不準(zhǔn)確或不貼切的假設(shè)。實(shí)現(xiàn)一個(gè)基于規(guī)則的專家系統(tǒng)是一個(gè)知識(shí)工程問(wèn)題，而且其功能應(yīng)當(dāng)能夠隨著經(jīng)驗(yàn)的積累而利用其自學(xué)習(xí)能力進(jìn)行規(guī)則的擴(kuò)充和修正。對(duì)于已知得攻擊，它可以詳細(xì)、準(zhǔn)確的報(bào)告報(bào)告出攻擊類型，但是對(duì)未知攻擊卻效果有限，而且入侵模式庫(kù)必須不斷更新。響應(yīng)單元?jiǎng)t是對(duì)分析結(jié)果作出作出反應(yīng)的功能單元，它可以作出切斷連接、改變文件屬性等強(qiáng)烈反應(yīng),甚至發(fā)動(dòng)對(duì)攻擊者的反擊，也可以只是簡(jiǎn)單的報(bào)警?，F(xiàn)有的入侵檢測(cè)系統(tǒng)在10M網(wǎng)上檢查所有數(shù)據(jù)包中的幾十種攻擊特征時(shí)可以很好地工作。不同的入侵檢測(cè)系統(tǒng)之間不能互操作：在大型網(wǎng)絡(luò)中，網(wǎng)絡(luò)不同的部分可能使用了不同的入侵檢測(cè)系統(tǒng)，但現(xiàn)在的入侵檢測(cè)系統(tǒng)之間不能能夠交換信息，使得發(fā)現(xiàn)了攻擊時(shí)難以找到攻擊的源頭，甚至給入侵者制造了攻擊的漏洞。所以必須建立一種機(jī)制，把入侵檢測(cè)系統(tǒng)的體系結(jié)構(gòu)與使用策略區(qū)分開。有效性要求：能夠證明根據(jù)某一設(shè)計(jì)所建立的入侵檢測(cè)系統(tǒng)是切實(shí)有效的。 網(wǎng)絡(luò)引擎和主機(jī)代理屬于CIDF中的事件產(chǎn)生器（Event generators）。 分析系統(tǒng)是對(duì)事件發(fā)生器捕獲的原始信息、其他入侵檢測(cè)系統(tǒng)提供的可疑信息進(jìn)行統(tǒng)一分析和和處理的系統(tǒng)。也可以采取主動(dòng)的反擊策略，對(duì)攻擊者進(jìn)行如DOS攻擊等，但這種以毒攻毒的方法在法律上是不許可的。一般說(shuō)來(lái)檢測(cè)器放在防火墻附近比較好。如果本應(yīng)該被防火墻封鎖的攻擊滲透近來(lái)，檢測(cè)器在防火墻內(nèi)檢測(cè)到或就能發(fā)現(xiàn)防火墻的設(shè)置失誤。l 你可以檢測(cè)到由于設(shè)置有問(wèn)題而無(wú)法通過(guò)防火墻的內(nèi)部系統(tǒng)，這可以幫助系統(tǒng)管理員。TCP是雙向協(xié)議，分析員必須確保計(jì)策器能從對(duì)話雙方接收信息。缺點(diǎn)：采用此端口會(huì)降低交換機(jī)性能。第三章 網(wǎng)絡(luò)引擎和主機(jī)代理 網(wǎng)絡(luò)引擎的設(shè)計(jì)網(wǎng)絡(luò)引擎通過(guò)分析網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)包，得到可能入侵的信