基于XML分布式入侵检测系统中 通讯协作机制的研究---毕业论文

本 科 毕 业 论 文 基于XML分布式入侵检测系统中通讯协作机制的研究The Research of Communication Cooperation Mechanism In XML Based Distribute Intrusion Detection System姓 名：学 号：学院：软件学院系：软件工程专 业：软件工程年 级：指导教师： 年 月摘 要网络信息的日益膨胀，入侵检测系统对计算机和网络资源上的恶意使用行为进行识别和响应的要求越来越高。目前基于多主体技术的分布式入侵检测系统已经成为当前入侵检测领域的研究热点，良好的通讯协作机制对分布式入侵检测系统的正常运行提供了保证。本文在入侵检测通讯语言IDACL以及X-IDACM现有文档的基础上，实现了一个基于XML的具有通用性的分布式入侵检测系统的通信机制，以满足基于多主体技术的分布式入侵检测系统中各个主体间的通讯需求。该通信机制系统主要包括实时监控模块和数据交换模块，并使各模块总体上满足了该分布式入侵检测系统警报信息量大、实时通信、安全性高的特点。论文主要研究了以下3方面的问题：第一、论文针对目前提出的一种基于XML通讯机制语言不能应对各功能模块变化的固有缺点，进一步的优化了这种通讯机制语言，通过两个功能模块的要求，定制了两种不同的通讯语言格式。第二、对通讯机制中的入侵通报进行的研究，使得分布式主机之间可以实时的通讯。第三、研究了分布式主机之间的相互协作中的数据交换，主要讨论了各主机之间的入侵询问，并根据试验的结果提出了一种良好的解决方案。关键字：分布式入侵检测系统；通信机制；RMI；Xbeans；XMLAbstractNetwork information is expanding gradually, Intrusion Detection System on the computer and network resources to identify malicious behavior and response have become increasingly demanding. At present, multi-agent-based Distributed Intrusion Detection System Intrusion Detection has become the current hot areas of research, and good communications coordination mechanism for distributed intrusion detection system to ensure the normal operation.In this paper, Intrusion Detection IDACL as well as the communication language X-IDACM the basis of existing documents, an XML-based general-purpose in nature have a distributed intrusion detection system communication mechanisms to meet the needs of multi-agent-based Distributed Intrusion Detection System between all the main communications needs. The communication mechanism, including real-time monitoring of system modules and data exchange module, and various modules to meet the whole of the Distributed Intrusion Detection System Alert informative, real-time communications, safety features. Paper the following three major research issues:First, the paper put forward a view of the current communication mechanism based on the XML language can not cope with changes in the function of the inherent shortcomings of modules that further optimize the communication mechanism of this language, through the request of two functional modules, custom two different communication language format.Second, the communication mechanism for notification of the invasion of the study, the host of distributed real-time communication between.Third, the study of distributed collaboration between the host data exchange focused on the invasion between the host asked, and in accordance with the results of tests of a good solution.Keywords：Distributed Intrusion Detection System；Communication Mechanism；RMI；Xbeans；XML目录第一章 引言11.1 研究背景和意义11.2 研究内容41.3 论文的组织结构5第二章 基本概念和相关技术62.1入侵检测系统IDS62.1.1 入侵检测系统的发展历史62.1.2 入侵检测系统的分类82.2Snort简介92.2.1 Snort的工作模式102.2.2 Snort在Windows XP下的安装与配置102.3MySQL简介102.4 XML技术112.4.1XML的发展历史112.4.2 XML的特点122.4.3 XML的应用132.5RMI技术142.5.1 RMI的组成152.5.2 RMI的优点152.6 Xbeans框架172.7 非阻塞Socket172.7.1 非阻塞Socket的特点182.7.2 非阻塞Socket常用的方法192.8 本章小结19第三章 系统设计方案213.1 架构设计213.1.1 开发环境213.1.2 处理流程223.1.3 系统架构图243.1.4 模式驱动设计253.1.5 接口设计303.2 通讯语言设计方案323.2.1 语言设计目标和要求323.2.2 标准词汇集设计333.2.3 通讯语言格式353.3 通讯机制方案373.3.1 层次化的通讯模式373.3.2 代理联盟和“黑板”相结合的框架383.4 系统的详细设计393.4.1 实时监控模块403.4.2 数据交换模块403.5 本章小结41第四章 实现及试验分析424.1 通讯机制的实现424.1.1 系统实现424.1.2 封装成XML及解析XML的实现434.1.3 实时监控模块的XML数据504.1.4 数据交换模块的XML数据524.2 系统界面实现544.3 实验分析564.3.1 入侵通报564.3.2 入侵询问584.3.3 入侵查询604.4 本章小结62第五章 全文总结63参考文献65致谢66ContentsChapter 1 Foreword.11.1 Study Background And Significance11.2 Study Content41.3 The Main Work and Structure of This Thesis5Chapter 2 The Basic Concepts And Related Technologies62.1Intrusion Detection System62.1.1 IDS Development History62.1.2 Classification of Intrusion Detection System82.2Snort Introduction92.2.1 Mode of Snort102.2.2 Snort under Windows XP in Installation and Configuration102.3 MySQL Introduction102.4 XML Technologies112.4.1History of The Development of XML112.4.2 The Characteristics of XML122.4.3 XML Application132.5RMI Technologies142.5.1 The Composition of RMI152.5.2 The Advantages of RMI152.6 Xbeans Framwork172.7 Nonblocking Socket172.7.1 The Characteristics of Non-blocking Socket182.7.2 Commonly Used Method of Non-blocking Socket192.8 Summary of this chapter19Chapter 3 System Design213.1 Architecture Design213.1.1 Development Environment213.1.2 Process223.1.3 System Architecture Diagram243.1.4 Model-driven Design253.1.5 Interface Design303.2 Communication Language Design323.2.1 Language Design Objectives and Requirements323.2.2 Standard Vocabulary of Design333.2.3 Communication Language Format353.3 Communication Mechanism for The Program373.3.1 Hierarchical Code of Communication373.3.2 Acting Union and blackboard Framework That Combines383.4 Detailed Design393.4.1 Real-time Monitoring Module403.4.2 Data Exchange Module403.5 Summary of this chapter41Chapter 4 Implementation and Experimental Analysis424.1 The Realization of Communication Mechanism424.1.1 System424.1.2 XML and Analysis Package for The Realization of XML434.1.3 Real-time Monitoring of XML Data Module504.1.4 XML Data Exchange Module Data524.2 System Interface544.3 Experimental Analysis564.3.1 Invasion Informed564.3.2 Invasion Query584.3.3 Invasion Inquiry604.4 Summary of this chapter62Chapter 5 Summary63References65Acknowledgement 66基于XML分布式入侵检测系统中通讯协作机制的研究第一章 引言1.1 研究背景和意义随着以网络通讯为基础的信息技术的发展，同时网络技术应用范围的不断扩大，已经逐步渗透到社会经济、生活以及学习的各个领域。影响着传统的工作、管理、交流模式。特别是Internet的兴起，许多商业组织开始把Internet作为他们最重要的商业运作手段，政府机构也把Internet作为向公众提供访问公共记录和信息的渠道，大众传媒的重心也逐渐向网络倾斜，人们越来越依赖于网络进行信息访问和信息处理，信息作为一种无形的资源也越来越得到人们的青睐，计算机网络如今已经提供给我们信息共享和通讯的功能。可以预见，在不久的将来，人们生活、工作和学习的各个方面将通过网络构成一个高效、开放的信息系统。网络入侵行为的频繁，使得对入侵检测系统提出了新的挑战。在现代社会里任何远程复杂控制都是由计算机来实现的，因为人们发现联网的计算机能发挥更大的作用和更易于管理。应该认识到的是绝大多数的入侵者都并不具有什么特别高深的技术。那些十几岁的少年都能成功的实现对如Yahoo、CNN等的大在线公司的攻击。它们都是天才么？而实际情况是因为目前网络计算机的安全性非常差的缘故。用来实现网络计算机通信的下层协议是很久以前设计的，而那时并没有那么多敌意攻击的情况。因此大多数联网的计算机是不安全的，因为完全实现一个安全的现代OS需要重要的大量的努力。在大多数情况下作为管理员往往需要关闭某些无用服务，去除某些不需要的服务，升级和补丁操作系统，确信OS被加固以增强安全性，还要防止用户接收包含诸如“我爱你”病毒之类的信息内容。而大多数系统管理并没有大量的时间和精力来完全的实现系统的安全性，因为太多的项目(特别是电子商务)面临竞争。我国的网络安全形势也十分严峻，频繁的黑客入侵事件和计算机病毒的泛滥，使我国的很多政府部门、国家重要商业和教育机构都受到了不同程度的侵害，有些造成了严重的社会影响和经济损失。如何有效保护重要的信息数据、提高计算机网络系统的安全性是当前必须考虑和解决的一个重要问题1。网络安全技术致力于解决诸如如何有效进行介入控制，以及何如保证数据传输的安全性的技术手段，主要包括物理安全分析技术，网络结构安全分析技术，系统安全分析技术，管理安全分析技术，及其它的安全服务和安全机制策略。传统的网络安全技术主要包括：加密和数字签名机制、身份认证与访问控制机制、认证授权、安全审计、系统脆弱性检测、构筑防火墙系统等等。传统网络安全技术发展已经趋近成熟，特别是防火墙技术，它能有效地控制内部网络与外部网络之间的访问及数据传送，从而达到保护内部网络的信息不受外部非授权用户的访问和过滤信息的目的，防火墙配置的多样性和防护的有效性使它成为网络安全防线的中流砥柱，但是防火墙对于从内部发出攻击却无能为力。21世纪全世界的计算机都将通过Internet连到一起，信息安全的内涵也就发生了根本的变化，攻击工具与手法的日趋复杂多样，传统单一的安全技术和策略已经无法满足对安全高度敏感的部门的需要。它不仅从一般性的防卫变成了一种非常普通的防范，而且还从一种专门的领域变成了无处不在。因此，网络安全的防卫必须采用一种纵深的、多样的手段，形成一个多层次的防护体系，不再是单一的安全技术和安全策略，而是多种技术的融合，关键是各种安全技术能够起到相互补充的作用，这样，即使当某一种措施失去效能时，其他的安全措施也能予以弥补。网络安全技术的要求：一、网络安全来源于安全策略与技术的多样化；二、网络的安全机制与技术要不断地变化。但是，网络安全技术更多的是一种基于被动的防护，而如今的攻击和入侵要求我们主动地去检测、发现和排除安全隐患，所以，正是在这样的环境下，入侵检测系统开始崭露头角，成为了安全市场上和研究上新的热点，不仅愈来愈多的受到人们的关注，而且已经开始在各种不同的环境中发挥越来越重要的作用。入侵检测系统（Intrusion-detection system，简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵。如何更高效地检测入侵是每个入侵检测系统（IDS）最关注的问题。基于主机的入侵检测（HIDS，Host based detection System）和网络节点入侵检测（NIDS, Network based detection System）各有其应用环境和优劣，但缺乏信息共享却是目前IDS的一个天生缺陷。分布式入侵系统的实现，使得信息共享成为现实。分布式入侵检测系统的设计目标是应用于大规模网络中，在这种环境中，由于操作系统的没和网络结构的差异，加工网络规划庞大，使得集中式结构难以胜任。在功能模块的分布上，主机安全的监视基本上由安装在主机上的模块来完成。分布式入侵检测系统的主要功能包括：（1）检测大规模网络攻击，实时发出报警信息；（2）记录和识别异常的网络行为；（3）网络流量分析；（4）通过对受监视主机的口令询问进行IP真实性验证；（5）追踪发现入侵行为的源头；（6）信息的共享。但多数DIDS只是简单地丰富了数据来源，并未有效地对信息共享进行细化，也没有对数据共享进行严格的访问控制。基于多主体技术的入侵检测系统是针对常见分布式入侵检测系统存在的不足所设计的一种基于多主体技术的分布式入侵检测系统。目前已成为人们研究的热点。主体通讯是其与环境或其它主体进行协调、交流、合作和竞争的基础，多主体系统中需要解决的一个关键问题就是如何建立有效的通讯机制2。目前主体通讯领域具有代表性的语言是KQML3语言和FIPA ACL 语言，虽然这两种语言可以较好地满足了主体通信的基本要求，较为灵活、通用，支持知识共享和主体合作，然而其本身不具有描述与入侵检测有关知识的能力，而且缺乏有关的标准化规范和实现平台。而反观入侵检测领域，目前具有代表性的，一个是CIDF（ Common Intrusion Detection Framework）小组提出的通用入侵描述语言CISL4（ Common Intrusion Specification Language ）， 另一个是IDWG 小组提出的入侵检测消息交换格式IDMEF5（ Intrusion Detection Message Exchange Format ) 。虽然CISL提供了一个合理的、丰富的词汇表来表述与网络计算机有关的一组具体事件，但表述能力有限，如对事件之间的关系、对特定属性的量化描述以及对不确定、不存在或否定概念等信息进行表述时能力不足或较为复杂。IDMEF 虽然制定了一套较为完善的入侵报警消息格式，但同CISL 一样，缺乏完善的事件查询和回复机制，而这一点恰恰是多主体协作的基础。根据入侵检测中主体间通讯的特点并结合所设计的基于多主体技术的分布式入侵检测系统（ADIDS：Agent based distributed intrusion detection system）的具体要求，设计了一种入侵检测主体之间进行入侵信息交换的通讯语言IDACL（ Intrusion Detection Agent Communication Language），并在此基础上提出了一种基于XML、适用于入侵检测主体间协作和数据交换的通讯机制X-IDACM6（XML-based Intrusion Detection Agent Communication Mechanism）,已基本上满足不同主体之间的通讯。由上述的分析可知，构建基于XML的多机主体分布式入侵检测的通讯机制已经取得了一定的成功。但是通讯之间的效率还不是很高，本文根据通讯语言IDACL的基础上构建一个高效的基于XML多机主体的分布式入侵检测通讯机制的通讯框架。同时结合RMI（一种可以构建分布式系统）的优点，以及Xbeans在主机之间直接传递XML文档的优点，满足具有实时通信、安全性高的多主体技术的分布式入侵检测系统中不同主体间的通讯需求。1.2 研究内容根据分布式入侵检测主体之间通讯的特点和目前的通用语言的特点，并结合入侵检测主体之间进行入侵信息交换的通讯语言IDACL，实现了一种基于XML的、适用于入侵检测主体间协作和信息交换的通讯机制，以满足未来基于多主体技术的分布式入侵检测系统中不同主体间的通讯需求。因而，本文的研究重点是这些分布式主机之间的相互通讯的协作机制，这个通讯机制系统使用层次化的通讯模式设计，加上XML所具有的简单性、灵活性和可扩展性等优点，使得这个系统更加的稳定可靠。首先，对通讯机制的语言的定制，该通讯语言是建立在通讯语言IDACL的基础上的，并针对这个通讯机制的特点做出了相应的修改，设计出了适合于这个分布式入侵检测系统的主体之间进行入侵信息交换的通讯语言。然后，对该通讯机制的实现，把该通讯机制由两部分组成，一部分的建立在RMI基础上的通讯，这部分是实时监控模块；另一部分是建立在Socket基础上的通讯，这部分是数据交换模块。实时通讯模块主要是注重实时性，它对系统在时效性方面有特别高的要求，根据这个特点，把Xbeans和RMI相互结合，使得系统发现入侵后，就可以马上Report给这个分布式入侵检测系统的其他主机，这个过程简称为“入侵通报”。数据交换模块主要是注重交互性，根据这个模块的特点，把Xbeans和非阻塞的Socket相互结合，构建出了一个低耦合、可扩展的数据交换模块，比以往阻塞Socket拥有更高的性能。当系统想询问某个主机的入侵记录时，就直接发送一个Query给这个分布式入侵检测系统的其他主机，等待回应，这个过程简称为“入侵询问”。在本地交换数据时，发送一个Inquiry给本地主机，等待本地主机回应，这个过程简称为“入侵查询”。最后，对该通讯机制的可行性分析和测试，已经满足了提出的对于基于多主体技术的分布式入侵检测系统之间的通讯需求，并对于以后的研究重点也提出了一些要求。1.3 论文的组织结构本文后续章节的安排：第二章介绍基本的概念和相关的技术知识，是构建这个系统的基础；第三章介绍系统的设计方案，包括通讯格式和通讯机制；第四章介绍了系统的具体实现和试验分析，评估整个系统第五章结语以及参考文献和致谢。第二章 基本概念和相关技术由于本通讯机制是把信息封装成XML数据，然后利用这个XML数据进行通讯，通讯双方定义了一个统一的语言规则来解读这个XML数据，然后作进一步的处理。在基于多主体技术的分布式入侵检测系统上，利用Snort7 作为入侵检测工具和流量分析系统进行入侵检测，利用MySQL8 数据库进行数据存储，这种通讯机制的研究，使用到了很多关键的技术，最主要的是使用RMI进行远程调用和Xbeans进行XML信息的传递，以及使用非阻塞Socket进行数据的交换。所以本章将从分布式入侵检测系统、SNORT、MYSQL、XML、RMI、Xbeans等几个方面来介绍。2.1 入侵检测系统IDS入侵检测是防火墙的合理补充，帮助系统对付网络攻击，扩展了系统管理员的安全管理能力（包括安全、审计、监视、进攻、识别和响应），提高了信息安全基础结构的完整性。2.1.1 入侵检测系统的发展历史IDS最早出现在1980年4月。该年，James P. Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance的技术报告，在其中他提出了IDS的概念。 1980年代中期，IDS逐渐发展成为入侵检测专家系统（IDES）。 1990年，IDS分化为基于网络的IDS和基于主机的IDS。后又出现分布式IDS。1980年，James Aderson 首先提出了入侵检测的概念，他将入侵尝试(Intrusion Attempt)或威胁(Threat)定义为：潜在的、有预谋的、未经授权的访问信息、操作信息致使系统不可靠或无法使用的企图。他提出审计追踪可应用于监视入侵威胁，但这一设想的重要性当时并未被理解。1986年，为检测用户对数据库异常访问，在IBM主机上用Cobol 开发的Discovery 系统成为最早的基于主机的入侵检测系统雏形之一。1987 年，Dorothy E.Dennying 提出了入侵检测系统的抽象模型，首次将入侵检测的概念作为一种计算机系统安全防御问题的措施提出。1988 年，Morris Internet 蠕虫事件使得Internet 约5 天无法正常使用，该事件导致了许多入侵检测系统系统的开发研制。1988年，Teresa Lunt 等人进一步改进了Dennying 提出的入侵检测模型，并创建了IDES(Intrusion Detection Expert System)， 它提出了与系统平台无关的实时检测思想。1988年，为协助美国空军安全官员检测误用空军基地，使用Unisys 大型主机开发了Haystack 系统。1990年，Heberlein 等人提出基于网络的入侵检测NSM(Network Security Monitor) ，NSM 可以通过在局域网上主动地监视网络信息流量来追踪可疑的行为。1991年，NADIR(Network Anomaly Detection and Intrusion Reporter) 与DIDS(Distribute Intrusion Detection System)提出了收集和合并处理来自多个主机的审计信息，从而用以检测针对一系列主机的协同攻击。1994年，Mark Crosbie 和Gene Spafford 建议使用自治代理(Autonomous Agents)以便提高入侵检测系统的可伸缩性、可维护性效率和容错性。1995年，IDES 后续版本NIDES(Next-Generation Intrusion Detection System)实现了可以检测多个主机上的入侵。1996年，GRIDS(Graph-based Intrusion Detection System)的设计和实现使得对大规模自动或协同攻击的检测更为便利，Forrest 等人将免疫原理运用到分布式入侵检测领域。1998年，Ross Anderson 和Abida Khattak 将信息检索技术引进到了入侵检测系统。从20世纪90年代到现在，入侵检测系统的研发呈现出百家争鸣的繁荣局面，并在智能化和分布式两个方向取得了长足的进展。目前，SRI/CSL、普渡大学、加州大学戴维斯分校、洛斯阿拉莫斯国家实验室、哥伦比亚大学、新墨西哥大学等机构在这些方面的研究代表了当前的最高水平。对于现有分布式入侵检测系统存在的不足所出现的一种基于多主体技术的分布式入侵检测系统。这种系统主要包括：驻留在各台主机上入侵检测主体HIDA（Host based Intrusion Detection Agent）、基于网络的入侵检测主体NIDA（Network based Intrusion Detection Agent）和网络安全管理主体NSMA（Network Security Management Agent）。在这种系统中，对于主机之间的相互协作已经成为研究的重点，特别是它们之间的通讯协作机制。2.1.2 入侵检测系统的分类由于入侵的方式的多样性，因而入侵检测系统的分类也具有多样性。 根据数据源分类IDS 的数据源一般来自网络数据和系统数据。根据数据源可以把IDS 系统分为基于主机和基于网络的入侵检测。.1 网络型入侵检测网络型入侵检测系统的数据源则是网络上的数据包。可以将某台主机的网卡设于混杂模式（Promisc Mode）,监听所有本网段内的数据包并进行判断或直接在路由设备上放置入侵检测模块。一般网络型入侵检测系统担负着保护整个网段的任务。一般来说，在防火墙之外的检测器采用基于网络的入侵检测系统，负责检测来自Internet 的攻击。.2 主机型入侵检测主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。防火墙内部的Web，DNS 和Email 等服务器是大部分攻击的目标，这些服务器应该安装基于主机的入侵检测系统以提高整体安全性。 根据检测方法分类入侵检测根据检测方法可以分为两大类：异常（anomaly）入侵检测和误用（misuse）的入侵检测。.1 异常入侵检测异常入侵检测根据用户的异常行为或者对资源的异常存取来判断是否发生入侵事件。例如一个用户一般在早上九点到晚上五点之间登录到服务器，那么如果有一天，服务器发现该用户账号在午夜12 点登录到服务器来，就认为是一次入侵事件。异常入侵检测要建立一个阀值来区分正常事件与入侵事件。Anderson在此基础上把入侵分为外部渗透（external enetrations），内部渗透（internal penetrations），滥用（misfeasance）。外部渗透指的是非授权用户试图使用系统；内部渗透是合法用户试图访问非授权的数据，如经过窃权伪装或绕过访问控制；滥用指合法用户对数据和资源的滥用。.2 误用入侵检测误用检测是根据已定义好的入侵模式，运用已知的攻击方法来判断入侵是否出现。由于大部分入侵是利用了系统的脆弱性，所以通过分析入侵过程的特征、条件、排列以及事件间的关系，能具体描述入侵行为的迹象。这种检测方法的优点是只关心必须用于匹配模式的数据项，也可减少需要监控事件的数量和类型；另外，由于统计量中没有浮点计算，所以检测效率高。但是，它也存在一定的缺点：可测量性和性能与模式数据库或规则库的大小和体系结构有关；同时，因为没有通用模式规格说明语言，可扩展性很差。基于这种技术方法的模型包括专家系统、模型推理、状态转移分析等。2.2 Snort简介Snort是一个免费的IDS(入侵监测系统)软件。它的一些源代码是从著名的tcpdump软件发展而来的。它是一个基于libpcap包的网络监控软件，可以作为一个十分有效的网络入侵监测系统。它能够监测多种网络攻击和探测，例如：缓冲器溢出攻击，端口扫描，CGI攻击，SMB探测等等。Snort具有实时的告警能力，将告警记入一个特别的告警文件-系统日志，或者将告警信息通过samba转发给另一台Windows PC机。Snort是一个轻量级的入侵检测系统，它具有截取网络数据报文，进行网络数据实时分析、报警,以及日志的能力。snort的报文截取代码是基于libpcap库的，继承了libpcap库的平台兼容性。它能够进行协议分析，内容搜索/匹配，能够用来检测各种攻击和探测，例如：缓冲区溢出、隐秘端口扫描、CGI攻击、SMB探测、OS指纹特征检测等等。Snort使用一种灵活的规则语言来描述网络数据报文，因此可以对新的攻击作出快速地翻译。Snort具有实时报警能力。可以将报警信息写到syslog、指定的文件、UNIX套接字或者使用WinPopup消息。Snort具有良好的扩展能力。它支持插件体系，可以通过其定义的接口，很方便地加入新的功能。Snort还能够记录网络数据，其日志文件可以是tcpdump格式，也可以是解码的ASCII格式9。2.2.1 Snort的工作模式Snort有三种工作模式：嗅探器、数据包记录器、网络入侵检测系统。嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上。数据包记录器模式把数据包记录到硬盘上。网路入侵检测模式是最复杂的，而且是可配置的。可以让Snort分析网络数据流以匹配用户定义的一些规则，并根据检测结果采取一定的动作。2.2.2 Snort在Windows XP下的安装与配置首先下载windows下snort的安装文件，同时也要下载Winpcap的安装文件，先安装Winpcap然后在安装snort。Snort的配置需要两个MySql数据库snort 库和snort_archive 库。2.3 MySQL简介MySQL是一个小型关系型数据库管理系统，开发者为瑞典MySQL AB公司。在2008年1月16号被Sun公司收购。目前MySQL被广泛地应用在Internet上的中小型网站中。由于其体积小、速度快、总体拥有成本低，尤其是开放源码这一特点，许多中小型网站为了降低网站总体拥有成本而选择了MySQL作为网站数据库1/view/24816.htm0。与其他的大型数据库例如Oracle、DB2、SQL Server等相比，MySQL自有它的不足之处，如规模小、功能有限（MySQL Cluster的功能和效率都相对比较差）等，但是这丝毫也没有减少它受欢迎的程度。对于一般的个人使用者和中小型企业来说，MySQL提供的功能已经绰绰有余，而且由于MySQL是开放源码软件，因此可以大大降低总体拥有成本。与众多数据库相比较，MySQL拥有其自身的特点：为多种编程语言提供了API，这些编程语言包括C、C+、Eiffel、Java、Perl、PHP、Python、Ruby和Tcl等；支持多线程，充分利用CPU资源；优化的SQL查询算法，有效地提高查询速度；提供TCP/IP、ODBC和JDBC等多种数据库连接途径；可以处理拥有上千万条记录的大型数据库。2.4 XML技术XML（Extensible Markup Language）即可扩展标记语言，它与HTML一样，都是SGML(Standard Generalized Markup Language,标准通用标记语言)。Xml是Internet环境中跨平台的，依赖于内容的技术，是当前处理结构化文档信息的有力工具。扩展标记语言XML是一种简单的数据存储语言，使用一系列简单的标记描述数据，而这些标记可以用方便的方式建立，虽然XML占用的空间比二进制数据要占用更多的空间，但XML极其简单易于掌握和使用。XML的简单使其易于在任何应用程序中读写数据，这使XML很快成为数据交换的唯一公共语言，虽然不同的应用软件也支持其它的数据交换格式，但不久之后他们都将支持XML，那就意味着程序可以更容易的与Windows、Mac OS、Linux以及其他平台下产生的信息结合，然后可以很容易加载XML数据到程序中并分析他，并以XML格式输出结果11/view/63.htm#5。XML 提供了一个理想的解决方法来处理快速增加的网站数据量和信息复杂度的问题12。2.4.1 XML的发展历史1969年，IBM公司开发了一种文档描述语言GML（Generalized Markup Language），用来解决不同系统中文档格式不同的问题，在当时得到了一定的推广。1986年GML成为了一个国际标准ISO8879，这就是SGML。SGML是很多大型组织的文档标准，它是一种与语言无关的、结构化的、可扩展的语言，这些特点使它在很多公司受到欢迎，被用来创建、处理和发布大量的文本信息。1989年，在CERN欧洲粒子物理研究中心的研究人员开发了基于SGML的超文本版本，称为HTML( HyperText Markup Language)。HTML继承了SGML的许多重要的特点，比如结构化、实现独立和可描述性，但是它也存在很多缺陷，比如它只能使用固定的有限的标记，而且它只侧重于对内容的显示方面。XML与HTML的设计区别是：XML是用来存储数据的，重在数据本身。而HTML是用来定义数据的，重在数据的显示模式。随着Web上数据的增多，HTML存在的这些缺点越来越突出。W3C的成员认识到，必须有一种方法能够把数据本身和数据的显示分离开来，这样W3C在1996年提出了XML的概念。XML不仅保留了SGML的很多优点，而且更加容易操作以及在World Wide Web环境下实现。1998年，XML成了W3C的推荐标准（XML1.0）。2.4.2 XML的特点XML的广泛应用，当然也离不开他自身的特点：（1）自描述。XML是一种标记语言，其内容由相应的标记来标识，具有自描述的特点。（2）可扩展性。XML是一种可扩展的标记语言，用户可以定义自己的标记来表达自己的数据，具有强大的可扩展性。（3）内容和显示分离。XML文档只描述数据本身，而与数据相关的显示则由另外的处理程序来完成，具有内容和显示相分离的特点。（4）本地计算。XML解析器读取数据，并将它递交给本地应用程序（例如浏览器）进一步查看或处理，也可以由使用XML对象模型的脚本或其他编程语言来处理。（5）性化数据视图。传递到桌面的数据可以根据用户的喜好和配置等因素，以特定的形式在视图中动态表现给用户。（6）数据集成。使用XML，可以描述和集成来自多种应用程序的不同格式的数据，使其能够传递给其它应用程序，做进一步的处理。2.4.3 XML的应用XML的特点使得其得到了广泛的应用，在熟悉的各个领域都可以看到它的应用。 XML在电子商务中的应用下面介绍几种基于XML的电子商务模型：（1）点对点（P2P）的电子商务模型。用XML定义企业之间交换的信息，然后用XML消息直接进行信息的交换，这种方式是对传统电子数据交换EDI（Electronic Data Exchange）的直接扩展。典型应用有微软的BizTalk框架。 （2）基于代理（agent）的电子商务模型。在点对点模型的基础上，增加一个代理程序。代理程序的作用就是自动在网络上找到有用的信息，并将其转发到本企业的数据库。（3）基于门户（portal）的电子商务模型。企业将各种不同的信息发布到相应的门户上，然后各自根据自己的需求到不同的门户上寻找本企业感兴趣的信息。另外，各门户还可以实现信息的共享和互联，具有很大的扩展性。（4）基于web服务的电子商务模型。Web服务是一种基于标准的应用集成方式，它可以将运行在通过Intranet、Extranet或Internet连接的分布式服务器上的应用集成在一起。也就是通过互联网的开放标准，实现业务流程的导航、搜索以及与其他应用的交互。典型应用有基于XML技术和标准的webXML技术框架。 XML在网络安全中的应用可以用XML语言来描述web应用层的安全规范。同时可以用在通讯机制方面，这是本论文研究的重点。下面是用XML文件来描述一次入侵询问返回结果的一个例子，返回结果说明入侵询问的IP为2是否是恶意IP和其他相关信息： query Y 2009 XML用于B2B数据的集成如webMethods公司（基于XML的企业间数据集成解决方案供应商）的D&B Global Access平台，利用基于XML的web界面定义语言WIDL通过API从各种来源收集信息，XML应用程序DGX用作该平台客户端和服务器端之间的交换界面。 XML的其他应用 XML在数据库中的作用越来越重要，在熟悉的ORM框架Hibernate也是应用XML来配置，如今主流的框架JSF、Strut、WebWork和Spring等都大量的应用XML来实现其灵活性。 另外象其它的数据库MySQL等也支持XML特征。2.5 RMI技术RMI全称Remote Method Invocation（远程方法调用），是一种计算机之间对象互相调用对方函数，启动对方进程的一种机制，使用这种机制-采用stubs 和 skeletons 来进行远程对象(remote object)的通讯，某一台计算机上的对象在调用另外一台计算机上的方法时，使用的程序语法规则和在本地机上对象间的方法调用的语法规则一样。调用远程对象和调用本地对象同样方便。2.5.1 RMI的组成远程服务