【正文】 個(gè)人防火墻。 Winpcap的組成Winpcap主要由一個(gè)內(nèi)核層的數(shù)據(jù)包過(guò)濾模塊，兩個(gè)動(dòng)態(tài)鏈接庫(kù)組成。內(nèi)核層的數(shù)據(jù)包過(guò)濾模塊NPF(Netgroup Packet Filter)，主要是對(duì)應(yīng)于Linux下的Libpcap使用的BPF過(guò)濾模塊來(lái)設(shè)計(jì)的，用來(lái)實(shí)現(xiàn)高效的網(wǎng)絡(luò)數(shù)據(jù)包捕獲和過(guò)濾功能，其過(guò)濾規(guī)則與BPF的過(guò)濾規(guī)則一樣。，為開(kāi)發(fā)者提供一個(gè)較底層的開(kāi)發(fā)接口，使用此動(dòng)態(tài)連接庫(kù)可以調(diào)用WinPcap的函數(shù)。，它為開(kāi)發(fā)者提供了一個(gè)更高層的編程接口，且其調(diào)用與系統(tǒng)無(wú)關(guān)。因此。 基于規(guī)則檢測(cè)器的設(shè)計(jì)如前面入侵檢測(cè)模型設(shè)計(jì)時(shí)所介紹的，在數(shù)據(jù)分析模塊中運(yùn)用了兩種檢測(cè)技術(shù)。因此，數(shù)據(jù)分析模塊將分別對(duì)兩個(gè)檢測(cè)器進(jìn)行設(shè)計(jì)。本節(jié)給出了基于規(guī)則檢測(cè)器的設(shè)計(jì)過(guò)程?；谛袨闄z測(cè)器的設(shè)計(jì)過(guò)程將在下節(jié)進(jìn)行介紹。 設(shè)計(jì)原則基于規(guī)則的入侵檢測(cè)器的設(shè)計(jì)原則如下:充分利用協(xié)議的高規(guī)則性,根據(jù)不同協(xié)議的不同位置所代表的含義的不同，進(jìn)行了規(guī)則檢測(cè)器的設(shè)計(jì)，提高整個(gè)入侵檢測(cè)系統(tǒng)的檢測(cè)速度，降低入侵檢測(cè)系統(tǒng)的誤報(bào)率。 規(guī)則檢測(cè)器的工作流程設(shè)計(jì)根據(jù)網(wǎng)絡(luò)結(jié)構(gòu)分層的特點(diǎn)和處理時(shí)間的先后，可以將基于協(xié)議分析的規(guī)則檢測(cè)器分為:底層模塊、中層模塊和高層模塊。其中底層模塊的任務(wù)是完成數(shù)據(jù)包的捕獲。中層模塊需要進(jìn)行是協(xié)議解碼和協(xié)議分析。協(xié)議解碼主要是對(duì)捕獲的數(shù)據(jù)包進(jìn)行解碼和預(yù)處理；協(xié)議分析將協(xié)議解碼過(guò)的數(shù)據(jù)運(yùn)用模式匹配算法和特征庫(kù)中攻擊模式進(jìn)行比較分析，從而判斷是否受到攻擊。高層模塊主要是實(shí)現(xiàn)數(shù)據(jù)包的統(tǒng)計(jì)和操作日志。規(guī)則檢測(cè)器的基本結(jié)構(gòu)如圖43所示[49]:圖43 規(guī)則檢測(cè)器的基本結(jié)構(gòu) The basic structure of the detector rule根據(jù)規(guī)則檢測(cè)器的基本結(jié)構(gòu)圖所示，主要針對(duì)其中層模塊進(jìn)行設(shè)計(jì)。1. 協(xié)議樹(shù)的構(gòu)建根據(jù)前面網(wǎng)絡(luò)協(xié)議分層的介紹，了解到協(xié)議是按層次劃分。按照協(xié)議的層次結(jié)構(gòu)，我們將所有協(xié)議轉(zhuǎn)化成為一棵協(xié)議樹(shù)，其結(jié)構(gòu)如圖44所示。樹(shù)中的一個(gè)節(jié)點(diǎn)代表一種協(xié)議。一個(gè)網(wǎng)絡(luò)數(shù)據(jù)包的分析過(guò)程就是一條從根到某個(gè)葉子的路徑。只要分析過(guò)程中動(dòng)態(tài)地維護(hù)和配置協(xié)議樹(shù)結(jié)構(gòu)就可實(shí)現(xiàn)非常靈活的協(xié)議分析功能。圖44 協(xié)議分析樹(shù) Protocol analysis tree協(xié)議分析樹(shù)本質(zhì)上是三維結(jié)構(gòu)，除了平面上的協(xié)議分層結(jié)構(gòu)外，樹(shù)中的每節(jié)點(diǎn)都有一個(gè)鏈表，存儲(chǔ)了本節(jié)點(diǎn)協(xié)議的分析算法等信息。在實(shí)現(xiàn)中，對(duì)于每個(gè)協(xié)議的分析都是利用鏈表中算法產(chǎn)生的進(jìn)程隊(duì)列中的一個(gè)進(jìn)程來(lái)實(shí)現(xiàn)，每層的處理十分類(lèi)似。每層都是根據(jù)不同協(xié)議的多分支結(jié)構(gòu)。2. 協(xié)議解碼由于數(shù)據(jù)在發(fā)送時(shí)是自上而下，逐層進(jìn)行封裝；因此，數(shù)據(jù)在接收時(shí)是自下而上，逐層進(jìn)行解碼。數(shù)據(jù)在發(fā)送過(guò)程中，發(fā)送方對(duì)數(shù)據(jù)包逐層添加一些首部信息 (有時(shí)還要增加尾部信息)的過(guò)程被稱(chēng)為數(shù)據(jù)封裝。協(xié)議解碼就是接收方按照數(shù)據(jù)封裝的逆過(guò)程，逐層去掉每一層協(xié)議所對(duì)應(yīng)的首部信息，進(jìn)行解碼。協(xié)議解碼的過(guò)程如圖45所示。圖45 協(xié)議解碼過(guò)程 Protocol decoding process3. 協(xié)議分析檢測(cè)器的設(shè)計(jì)由于網(wǎng)絡(luò)通信的核心協(xié)議TCP協(xié)議和IP協(xié)議，在RFC0791和RFC0793文檔中，分別定義了TCP數(shù)據(jù)包和IP數(shù)據(jù)包的格式。且這種格式定義只與協(xié)議相關(guān)，與網(wǎng)絡(luò)的結(jié)構(gòu)、類(lèi)型無(wú)關(guān)，因此協(xié)議分析具有很廣泛的適用性。本文根據(jù)簡(jiǎn)單協(xié)議分析方法的原理，進(jìn)行了協(xié)議檢測(cè)具體步驟的設(shè)計(jì)?；诩褐陌Y(jié)構(gòu)，通過(guò)對(duì)包中相應(yīng)位置的信息進(jìn)行分析，從而截取可能是攻擊行為的特征碼進(jìn)行比較，大大減少了比較的計(jì)算量，避免了對(duì)內(nèi)容的比較而產(chǎn)生的誤報(bào)。根據(jù)協(xié)議規(guī)范中不同協(xié)議的協(xié)議標(biāo)識(shí)值，我們將協(xié)議分析算法用一棵帶標(biāo)識(shí)的協(xié)議樹(shù)來(lái)表示，如圖46所示:圖46 協(xié)議類(lèi)型分類(lèi)識(shí)別圖 Classification chart of protocol type根據(jù)上圖所示各個(gè)協(xié)議的協(xié)議標(biāo)識(shí)值，基于協(xié)議分析技術(shù)的規(guī)則檢測(cè)器的具體實(shí)現(xiàn)步驟如下：(1) 根據(jù)協(xié)議規(guī)范中所指出的以太網(wǎng)數(shù)據(jù)包中第13字節(jié)處包含2個(gè)用作第三層協(xié)議標(biāo)識(shí)的字節(jié)；可以在開(kāi)始跳過(guò)前面12個(gè)字節(jié),直接讀取第13字節(jié)處的2個(gè)字節(jié)(協(xié)議標(biāo)識(shí))。如果值為0800,根據(jù)協(xié)議規(guī)范可以判斷出這個(gè)網(wǎng)絡(luò)數(shù)據(jù)包是IPv4包；若值為0806，則是ARP數(shù)據(jù)包；若值為8035，則為RARP數(shù)據(jù)包。(2) 根據(jù)IP協(xié)議規(guī)定，IP包的第24字節(jié)有一個(gè)用作第四層協(xié)議規(guī)范標(biāo)識(shí)的字節(jié)。系統(tǒng)可跳到第24字節(jié)去直接讀取第四層協(xié)議標(biāo)識(shí)；如果值為06,則這個(gè)數(shù)據(jù)包是TCP協(xié)議數(shù)據(jù)包。若值為11則為UDP協(xié)議數(shù)據(jù)包。(3) TCP協(xié)議規(guī)定了第338兩個(gè)字節(jié)用于應(yīng)用層協(xié)議的標(biāo)識(shí)(端口號(hào))。根據(jù)這一規(guī)定,系統(tǒng)可以直接跳到第37字節(jié)直接讀取端口號(hào),如果值為80,則說(shuō)明該數(shù)據(jù)包是一個(gè)HTTP協(xié)議的數(shù)據(jù)包。(4) 在HTTP協(xié)議中規(guī)定了:第55字節(jié)是URL的開(kāi)始處。因此,如果要檢測(cè)基于HTTP URL的攻擊的話(huà),只需要檢測(cè)這個(gè)URL就可以了。 基于行為檢測(cè)器的設(shè)計(jì)在第一章入侵檢測(cè)技術(shù)的介紹中，我們了解到可以將神經(jīng)網(wǎng)絡(luò)用于基于行為的入侵檢測(cè)系統(tǒng)中。第三章，針對(duì)神經(jīng)網(wǎng)絡(luò)入侵檢測(cè)技術(shù)的不足，提出了遺傳神經(jīng)網(wǎng)絡(luò)算法來(lái)實(shí)現(xiàn)基于行為的入侵檢測(cè)。本節(jié)我們將詳細(xì)介紹如何建立基于行為的異常檢測(cè)器。 行為檢測(cè)器的設(shè)計(jì)思想在本文的數(shù)據(jù)分析模塊中，利用遺傳神經(jīng)網(wǎng)絡(luò)算法來(lái)實(shí)現(xiàn)基于行為的入侵檢測(cè)（即異常檢測(cè)）。遺傳神經(jīng)網(wǎng)絡(luò)算法是將遺傳算法和BP神經(jīng)網(wǎng)絡(luò)算法相結(jié)合。首先利用BP神經(jīng)網(wǎng)絡(luò)算法來(lái)確定網(wǎng)絡(luò)的結(jié)構(gòu)和一些相關(guān)參數(shù)，如：輸入結(jié)點(diǎn)個(gè)數(shù)、各結(jié)點(diǎn)間的網(wǎng)絡(luò)權(quán)值等。然后通過(guò)遺傳算法來(lái)修正網(wǎng)絡(luò)權(quán)值，學(xué)習(xí)的結(jié)果不需要再使用BP算法進(jìn)行優(yōu)化，而是直接輸入到BP神經(jīng)網(wǎng)絡(luò)中進(jìn)行訓(xùn)練并輸出結(jié)果。這種利用遺傳神經(jīng)網(wǎng)絡(luò)算法構(gòu)建的神經(jīng)網(wǎng)絡(luò)克服了單一的神經(jīng)網(wǎng)絡(luò)初始權(quán)值的隨機(jī)性以及網(wǎng)絡(luò)優(yōu)化的局限性，從而有效的提高了神經(jīng)網(wǎng)絡(luò)的泛化能力；并且有效的克服了遺傳算法局部調(diào)節(jié)能力較弱的問(wèn)題。使得改進(jìn)后的遺傳神經(jīng)網(wǎng)絡(luò)神經(jīng)網(wǎng)絡(luò)既體現(xiàn)了網(wǎng)絡(luò)的非線(xiàn)性，具有神經(jīng)網(wǎng)絡(luò)的魯棒性和自學(xué)習(xí)能力；又繼承了遺傳算法的強(qiáng)全局隨機(jī)搜索能力[50]。用于入侵檢測(cè)模型中可以加強(qiáng)對(duì)未知入侵事件的學(xué)習(xí)能力，降低檢測(cè)系統(tǒng)的漏檢率。 行為檢測(cè)器的實(shí)現(xiàn)步驟在本文中，使用遺傳神經(jīng)網(wǎng)絡(luò)構(gòu)建的行為檢測(cè)器主要有以下兩個(gè)步驟：1．針對(duì)前面介紹的神經(jīng)網(wǎng)絡(luò)特點(diǎn)，我們需要選擇遺傳神經(jīng)網(wǎng)絡(luò)的輸入層結(jié)點(diǎn)，然后運(yùn)用遺傳算法進(jìn)行神經(jīng)網(wǎng)絡(luò)的自學(xué)習(xí)過(guò)程。所以在本文中，我們首先需要收集完備的正常行為數(shù)據(jù)作為訓(xùn)練神經(jīng)網(wǎng)絡(luò)的規(guī)則集。我們根據(jù)此規(guī)則集運(yùn)用遺傳算法和BP算法來(lái)訓(xùn)練神經(jīng)網(wǎng)絡(luò)，從而建立一個(gè)正常的行為模式。這樣被訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)就可以作為一個(gè)基于行為的入侵檢測(cè)器即異常檢測(cè)器。2．在實(shí)驗(yàn)網(wǎng)絡(luò)上進(jìn)行仿真攻擊，我們用收集到的入侵事件集對(duì)訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)進(jìn)行測(cè)試，分析實(shí)驗(yàn)結(jié)果，然后根據(jù)具體的性能指標(biāo)進(jìn)行改進(jìn)。本文中基于遺傳神經(jīng)網(wǎng)絡(luò)的行為檢測(cè)器工作流程如圖47所示：圖47行為檢測(cè)器的工作流程 The work flow of behavior detection 遺傳神經(jīng)網(wǎng)絡(luò)算法設(shè)計(jì)1．遺傳神經(jīng)網(wǎng)絡(luò)的算法描述本文結(jié)合的第三章中所了解的BP網(wǎng)絡(luò)和遺傳算法的原理，設(shè)計(jì)了遺傳神經(jīng)網(wǎng)絡(luò)算法的實(shí)現(xiàn)步驟，具體描述如下：輸入部分：神經(jīng)網(wǎng)絡(luò)的初始結(jié)點(diǎn)、規(guī)則集、遺傳算法的控制參數(shù)；輸出部分：運(yùn)用規(guī)則集訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)。Step1：設(shè)置控制參數(shù)：初始種群大小、網(wǎng)絡(luò)各層的結(jié)點(diǎn)數(shù)、網(wǎng)絡(luò)結(jié)點(diǎn)的編碼方式、權(quán)值的取值范圍、交叉概率、變異概率、算法的終止條件；Step2：；Step3：初始化神經(jīng)網(wǎng)絡(luò)，并將神經(jīng)網(wǎng)絡(luò)按照本文建議的編碼方式進(jìn)行編碼，從而構(gòu)成遺傳算法的初始種群；Step4：輸入規(guī)則集訓(xùn)練神經(jīng)網(wǎng)絡(luò)，按照本文提出的適應(yīng)度函數(shù)計(jì)算個(gè)體的適應(yīng)度值；Step5：是否滿(mǎn)足算法的終止條件；若未滿(mǎn)足，則繼續(xù)；否則，轉(zhuǎn)向Step9；Step6：根據(jù)交叉概率從父代中選擇參加交叉操作的個(gè)體集，然后選擇兩個(gè)個(gè)體按照本文提出的交叉算子進(jìn)行交叉操作；Step7：根據(jù)變異概率，從經(jīng)過(guò)交叉操作后得到的個(gè)體中選擇參加變異的個(gè)體，然后按照本文提出的變異算子進(jìn)行變異操作；Step8：轉(zhuǎn)向Step5，重新評(píng)價(jià)新一代種群的適應(yīng)度值；Step9：輸出訓(xùn)練好的神經(jīng)網(wǎng)絡(luò)。根據(jù)遺傳神經(jīng)網(wǎng)絡(luò)算法的實(shí)現(xiàn)步驟，下面將對(duì)該算法中各參數(shù)的確定方式進(jìn)行介紹。2．遺傳神經(jīng)網(wǎng)絡(luò)中的個(gè)體編碼方法在本文中，采用二進(jìn)制編碼的方式，按照輸入層和隱含層節(jié)點(diǎn)見(jiàn)連接權(quán)重—隱含層和輸出層節(jié)點(diǎn)間的連接權(quán)重—隱含層節(jié)點(diǎn)偏值——輸出節(jié)點(diǎn)偏值的順序把各權(quán)值和偏值連成一串。通過(guò)不斷的交叉、變異，獲得全局意義上的最優(yōu)的網(wǎng)絡(luò)結(jié)構(gòu)。本文中權(quán)值的取值范圍設(shè)置為（，）。3．適應(yīng)度函數(shù)的設(shè)計(jì)在本文中，利用遺傳算法訓(xùn)練神經(jīng)網(wǎng)絡(luò)的適應(yīng)度函數(shù)采用如下方式：（41）其中： —針對(duì)給定的訓(xùn)練集，神經(jīng)網(wǎng)絡(luò)的正確輸出個(gè)數(shù)；—訓(xùn)練集的樣本個(gè)數(shù)；越接近于1，則網(wǎng)絡(luò)輸出的準(zhǔn)確率就越高。4．交叉算子在本文中，我們采用多點(diǎn)交叉的方式來(lái)產(chǎn)生新的個(gè)體。選擇多個(gè)交叉點(diǎn)進(jìn)行交換，但是在第一位變量在第一個(gè)交叉點(diǎn)之間的那段不做變換。以如下的兩個(gè)11位變量為例:父?jìng)€(gè)體1 0 1 1 1 0 0 1 1 0 1 0父?jìng)€(gè)體21 0 1 0 1 1 0 0 1 0 1交叉點(diǎn)的位置選擇：3 6 10交叉后的新個(gè)體表示為：父?jìng)€(gè)體1 0 1 1 0 1 1 1 1 0 1 1父?jìng)€(gè)體21 0 1 1 0 0 0 0 1 0 05．變異算子由于變異操作是交叉操作的一個(gè)輔助過(guò)程，所以本文中我們選擇基本位變異的方法進(jìn)行個(gè)體的更新。以如下的兩個(gè)11位變量為例，第五位發(fā)生變異:變異前 0 1 1 1 0 0 1 1 0 1 0變異后 0 1 1 1 1 0 1 1 0 1 06．控制參數(shù)的確定根據(jù)前面講到的，我們需要在實(shí)驗(yàn)之前選取遺傳神經(jīng)網(wǎng)絡(luò)的控制參數(shù)，如：初始種群、交叉概率、變異概率、算法終止條件等。（1）初始種群大?。寒?dāng)取值較小時(shí)，可提高遺傳算法的運(yùn)算速度，但卻降低了群體的多樣性，有可能會(huì)引起遺傳算法的早熟現(xiàn)象；而當(dāng)取值較大時(shí)，又會(huì)使得遺傳算法的運(yùn)行效率降低。一般取50~500，初始群體隨機(jī)產(chǎn)生。（2）交叉概率：交叉概率的取值過(guò)大，會(huì)破壞群體中的優(yōu)良模式，對(duì)遺傳運(yùn)算產(chǎn)生不利影響；若取值過(guò)小，產(chǎn)生新個(gè)體的速度又較慢。（3）變異概率：。較大會(huì)破壞較好的模式，影響遺傳算法的性能，使得遺傳算法類(lèi)似于隨機(jī)搜索。若取值較小，則變異操作產(chǎn)生新個(gè)體的能力和抑制早熟的現(xiàn)象的能力就會(huì)較差。在本文的仿真實(shí)驗(yàn)中。（4）算法的終止條件：是表示遺傳算法的運(yùn)行結(jié)束條件的一個(gè)參數(shù)。在我們的實(shí)驗(yàn)中，當(dāng)算法滿(mǎn)足以下兩個(gè)條件之一時(shí)，算法就結(jié)束：① 當(dāng)某代的最優(yōu)個(gè)體的適應(yīng)度值預(yù)設(shè)的適應(yīng)度值時(shí)，算法結(jié)束；② 已達(dá)到所預(yù)設(shè)的最大迭代次數(shù)時(shí)，算法結(jié)束。 兩種檢測(cè)技術(shù)的結(jié)合本文的入侵檢測(cè)系統(tǒng)數(shù)據(jù)分析模塊中協(xié)議分析技術(shù)與遺傳神經(jīng)網(wǎng)絡(luò)兩種技術(shù)的結(jié)合點(diǎn)定義如下：1. 當(dāng)協(xié)議分析出是攻擊，則通知遺傳神經(jīng)網(wǎng)絡(luò)停止檢測(cè)；2. 當(dāng)遺傳神經(jīng)網(wǎng)絡(luò)檢測(cè)出是正常，則通知協(xié)議分析停止檢測(cè)；3. 只有協(xié)議分析出事正常的，遺傳神經(jīng)網(wǎng)絡(luò)檢測(cè)出是攻擊包時(shí)，才將數(shù)據(jù)包輸出到規(guī)則生成器，由規(guī)則生成器根據(jù)攻擊包的特征生成出符合協(xié)議分析標(biāo)準(zhǔn)的規(guī)則，并加入到協(xié)議分析規(guī)則庫(kù)中。 數(shù)據(jù)存儲(chǔ)模塊的設(shè)計(jì)數(shù)據(jù)存儲(chǔ)模塊主要是將檢測(cè)到的事件（原始數(shù)據(jù)信息、分析檢測(cè)后的結(jié)果等都稱(chēng)為事件）記錄下來(lái)，便于事后分析。本文利用Access數(shù)據(jù)庫(kù)系統(tǒng)來(lái)建立存儲(chǔ)系統(tǒng)。進(jìn)行數(shù)據(jù)的存儲(chǔ)，存儲(chǔ)來(lái)自采集模塊和數(shù)據(jù)分析模塊的檢測(cè)結(jié)果，為網(wǎng)絡(luò)入侵檢測(cè)后面分析以及攻擊行為追蹤提供充足的信息。本文所采用的數(shù)據(jù)庫(kù)類(lèi)型是Access，它是微軟公司開(kāi)發(fā)的一個(gè)小型但功能強(qiáng)大的數(shù)據(jù)庫(kù)，此數(shù)據(jù)庫(kù)提供了C/C++語(yǔ)言編程接口，在C/C++語(yǔ)言中操作比較簡(jiǎn)單，容易實(shí)現(xiàn)，Access數(shù)據(jù)庫(kù)插入的數(shù)據(jù)是非?？斓?，能夠滿(mǎn)足檢測(cè)系統(tǒng)對(duì)數(shù)據(jù)的需求。隨著網(wǎng)絡(luò)的不斷擴(kuò)大，網(wǎng)絡(luò)中的數(shù)據(jù)越來(lái)越多，如何保存捕獲的大量數(shù)據(jù)是需要解決的問(wèn)題。本文的數(shù)據(jù)模塊設(shè)計(jì)主要是采用一種策略對(duì)不必要的數(shù)據(jù)進(jìn)行刪減，設(shè)計(jì)了短期存儲(chǔ)和精簡(jiǎn)長(zhǎng)期數(shù)據(jù)庫(kù)兩種數(shù)據(jù)庫(kù)。短期數(shù)據(jù)庫(kù)用來(lái)存放在網(wǎng)絡(luò)種截取的數(shù)據(jù)包，保存一段時(shí)間后就會(huì)刪除；精簡(jiǎn)的長(zhǎng)期數(shù)據(jù)庫(kù)存放IP地址、攻擊特征、端口號(hào)、攻擊時(shí)間等具有攻擊特征的數(shù)據(jù)，這樣無(wú)關(guān)的數(shù)據(jù)就被刪除掉，只保留有關(guān)的數(shù)據(jù)，這樣可以進(jìn)行長(zhǎng)期保存。 控制臺(tái)模塊的設(shè)計(jì)控制模塊的主要功能是控制，當(dāng)攻擊事件發(fā)生時(shí)能夠做出一定的響應(yīng)，這種響應(yīng)方式比如發(fā)出聲音報(bào)警或者通過(guò)其他的方式通知我們系統(tǒng)管理員，或者做出其他方式的響應(yīng)，比如說(shuō)直接通過(guò)后臺(tái)把網(wǎng)絡(luò)切斷。控制臺(tái)模塊根據(jù)響應(yīng)方式可以分為主動(dòng)響應(yīng)（Active Responses）和被動(dòng)響應(yīng)（Passive Responses）。（Active Responses）在主動(dòng)響應(yīng)中，系統(tǒng)自動(dòng)地或在用戶(hù)的控制下來(lái)阻斷攻擊過(guò)程或以其他方式影響攻擊過(guò)程。主動(dòng)響應(yīng)主要有三種方式：針對(duì)入侵者采取反擊等措施、修正系統(tǒng)環(huán)境、收集更詳盡的信息。（1）針對(duì)入侵者采取反擊等措施這是最具有侵略性的響應(yīng)方式。它的基本思想是追蹤入侵者的攻擊來(lái)源，然后采取行動(dòng)切斷入侵者的機(jī)器或者網(wǎng)絡(luò)的連接。但是，這種措施會(huì)帶來(lái)一定的負(fù)面影響。首先，根據(jù)網(wǎng)絡(luò)黑客最常用的攻擊方法，被確認(rèn)為攻擊你的系統(tǒng)的源頭系統(tǒng)很可能是黑客的另一個(gè)犧牲品。其次，簡(jiǎn)單的反擊可能會(huì)惹來(lái)更大的攻擊。攻擊的開(kāi)始可能只是對(duì)你的系統(tǒng)進(jìn)行常規(guī)的監(jiān)視或掃描，簡(jiǎn)單的反擊有可能使其發(fā)展成為全范圍的敵意攻擊。最后，這種方法冒著很大的法律風(fēng)險(xiǎn)。如果因?yàn)榉磽羧肭侄篃o(wú)辜者受害，這本身就是違法行為，可能受到起訴。（2）修正系統(tǒng)環(huán)境及時(shí)修正導(dǎo)致入侵發(fā)生的安全漏洞。在一些入侵檢測(cè)系統(tǒng)中，這類(lèi)響應(yīng)可以通過(guò)改變分析引擎的一些參數(shù)設(shè)置和操作方式（如提高敏感級(jí)別）；或者通過(guò)添加規(guī)則（如提高某類(lèi)攻擊的可疑級(jí)別和擴(kuò)大監(jiān)控范圍）來(lái)達(dá)到目的。（3）收集更詳盡的信息當(dāng)被保護(hù)的系統(tǒng)非常重要時(shí)，可以為系統(tǒng)增加一個(gè)特殊的服務(wù)器，它用來(lái)營(yíng)造環(huán)境使入侵者被轉(zhuǎn)向。此服務(wù)器通常稱(chēng)為“蜜罐（honey pots）”、“誘餌（decoys）”或者“玻璃魚(yú)缸（fishbowls）”。這