基于java的局域網(wǎng)網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)-大學畢業(yè)論文

PAGE基于代理的入侵檢測系統(tǒng)的實現(xiàn)摘要入侵檢測系統(tǒng)在如今的網(wǎng)絡(luò)安全領(lǐng)域已經(jīng)成為一個關(guān)鍵性的組件，但傳統(tǒng)的入侵檢測系統(tǒng)存在的一定的不足，如誤報率和漏報率比較高，檢測速度慢，占用資源多等。為了適應(yīng)網(wǎng)絡(luò)安全的發(fā)展需求，針對現(xiàn)有的入侵檢測系統(tǒng)，結(jié)合移動代理技術(shù)，提出了基于移動代理的分布式入侵檢測模型。本文首先分析了當今網(wǎng)絡(luò)安全的現(xiàn)狀和存在的問題，指出了傳統(tǒng)的入侵檢測系統(tǒng)的局限性，并闡述了入侵檢測技術(shù)的發(fā)展歷史和研究現(xiàn)狀。然后講敘了分布式入侵檢測模型的構(gòu)成，在該模型各個分布節(jié)點上使用Snort抓取網(wǎng)絡(luò)數(shù)據(jù)包，并記錄可疑攻擊數(shù)據(jù)，通過移動代理技術(shù)對可疑數(shù)據(jù)融合后進行綜合分析，完成對分布式入侵的檢測功能。該模型在windows環(huán)境下實現(xiàn)，采用日本IBM公司的代理移動代理環(huán)境，結(jié)合Snort入侵檢測系統(tǒng)，利用JAVA語言編程，實現(xiàn)從可疑數(shù)據(jù)中，分析出攻擊行為，并自動添加相應(yīng)規(guī)則，增強對網(wǎng)絡(luò)的保護能力。關(guān)鍵字：分布式；移動代理；入侵檢測；Snort；代理

TheRealizationofIntrusionDetectionSystemBasedonAgentAbstractToday,intrusiondetectionsystemhasbecomeakeypartoftheareaofthenetworksecurity,buttherestillhassomedisadvantagesintraditionalintrusiondetectionsystems,suchasthehighfalsepositiverateandthehighfalsenegativerate，theslowlyspeedofdetection,takingupalotofresourcesandsoon.Inordertomeetthedemandsofthenetworksecuredevelopment,thethesisprovidesthemodeofdistributedintrusiondetectionsystembasedonmobileAgenttechnologyaccordingtonowadaysintrusiondetectionsystem.Firstofall,thestatusandexistedproblemsaboutthesecurityofnetworkisanalyzedinthisthesis,whichpointsoutthelimitationsofthetraditionalintrusiondetectionsystems,andgivesdetaildescriptionsofthedevelopmenthistoryandtheresearchstatusoftheintrusiondetectiontechnology.Second,thethesisdescribesthemodeofthedistributedintrusiondetectionsystembasedonmobileAgenttechnology.InthismodeSnortisusedonthedistributednodestograspthenetworkdatapackets,andrecordthesuspiciousdata.ThesystemrealizesthegeneralanalysisonfusedsuspiciousdatacollectedbythemobileAgenttechnology.Thissystemisrealizedinthewindowsoperationsystem,whichadoptstheAgentmobileAgentbelongedtotheJapaneseIBMcompanyandcombinedwithsnortintrusiondetectionsystem.Thesystemdevelopedinjavalanguageanalyzestheintrusionbehavior,increasestherulesautomatically,andstrengthenstheabilityofprotectiontothenetwork.Keywords:distributed;mobileAgent;intrusiondetection;Snort;Agent

目錄1 引言 11.1 緒論 11.2 研究現(xiàn)狀 11.3 本文主要內(nèi)容 22 入侵檢測和移動代理技術(shù) 22.1 入侵檢測技術(shù) 22.1.1 入侵檢測概述 22.1.2 入侵檢測的分類 32.1.3 人侵檢測系統(tǒng)的發(fā)展趨勢 42.2 移動代理技術(shù) 52.2.1 移動代理 52.2.2 移動代理與入侵檢測系統(tǒng)結(jié)合的優(yōu)勢 53 基于移動代理的分布式的入侵檢測模型 53.1 傳統(tǒng)的入侵檢測系統(tǒng)缺陷 53.2 基于移動代理的分布式入侵檢測系統(tǒng) 63.2.1 系統(tǒng)設(shè)計目標 63.2.2 系統(tǒng)模型設(shè)計 63.3 系統(tǒng)主要部件介紹 73.3.1 移動代理環(huán)境 73.3.2 數(shù)據(jù)收集 73.4 模型的工作機理 73.5 本模型的優(yōu)缺點分析 73.6 分布式攻擊檢測實例 83.6.1 DoorKnob攻擊基本原理 83.6.2 檢測過程 84 系統(tǒng)的設(shè)計與實現(xiàn) 94.1 移動代理代理系統(tǒng)介紹和配置 94.1.1 代理系統(tǒng)架構(gòu) 94.1.2 代理功能模型 104.1.3 代理安裝與配置 104.2 Snort介紹與配置 114.2.1 Snort的簡介 114.2.2 Snort系統(tǒng)組成 124.2.3 Snort的安裝 124.2.4 Snort的配置 124.2.5 Snort數(shù)據(jù)庫的配置 134.2.6 Snort網(wǎng)絡(luò)入侵檢測的使用 134.3 系統(tǒng)平臺的其他重要配置 144.4 系統(tǒng)實現(xiàn)技術(shù) 154.4.1 入侵檢測數(shù)據(jù)收集 154.4.2 具體實現(xiàn)中采用的關(guān)鍵技術(shù) 154.5 代碼分析模塊 154.6 下一步工作 23結(jié)論 23參考文獻 24致謝 25聲明 26第1頁共26頁引言緒論隨著計算機網(wǎng)絡(luò)的飛速發(fā)展和應(yīng)用，人們對網(wǎng)絡(luò)和計算機的依賴也越來越大。目前,Internet已經(jīng)成為世界上規(guī)模最大、用戶最多、影響最廣泛的網(wǎng)絡(luò)。它遍及全球180個國家，包括60多萬個網(wǎng)絡(luò)，為用戶提供各種信息服務(wù)，以及傳播科研、教育、商業(yè)和社會信息最主要的渠道。它豐富了人們的文化生話，滿足了人們?nèi)找嬖鲩L的信息需求。但是網(wǎng)絡(luò)病毒的泛濫、保密信息的泄露、計算機黑客入侵，使得網(wǎng)絡(luò)信息安全問題日益突出。不僅給企業(yè)和個人造成巨大的經(jīng)濟損失，嚴重的甚至威脅著國家政治、經(jīng)濟和軍事的安全。根據(jù)美國FBI統(tǒng)計，美國每年因網(wǎng)絡(luò)安全所造成的經(jīng)濟損失高達75億美元，而全球平均每20秒鐘就有一起Internet計算機侵入事件。因此，確保計算機和數(shù)據(jù)通信網(wǎng)絡(luò)的安全成為世人關(guān)注的社會問題，成為計算機科學技術(shù)的熱點領(lǐng)域。目前，要解決系統(tǒng)得安全問題，最直接的一個想法就是重新設(shè)計并構(gòu)建新的計算機系統(tǒng)，但這在現(xiàn)實的實踐中，是不可行的。Miller給出一份關(guān)于現(xiàn)今流行的操作系統(tǒng)和應(yīng)用程序研究報告，指出不可能出現(xiàn)沒有缺陷軟件，即使再好的軟件技術(shù)也無法消除漏洞的出現(xiàn)。其次，要花很長的時間將如今帶有安全缺陷的系統(tǒng)轉(zhuǎn)換成安全系統(tǒng)。第三，如今加密技術(shù)方法還不完善。第四，安全訪問控制等級和用戶的使用效率成反比。第五，訪問控制和保護模型本身存在一定的問題。第六，在軟件工程中存在軟件測試不充足、軟件生命周期縮短、大型軟件復(fù)雜性等難以解決的問題。面對以上的問題，可行的解決辦法是：建立容易實現(xiàn)的系統(tǒng)，并根據(jù)相應(yīng)得策略建立其輔助系統(tǒng)，以增強網(wǎng)絡(luò)的安全性。研究現(xiàn)狀近年來，從事計算機網(wǎng)絡(luò)安全的人員，通過對信息系統(tǒng)服務(wù)、傳輸媒介和協(xié)議的深入研究，使維護網(wǎng)絡(luò)安全的產(chǎn)品不斷更新?lián)Q代，從單機的防病毒軟件，到網(wǎng)絡(luò)的防火墻，再到現(xiàn)在的入侵檢測系統(tǒng)等等。入侵檢測技術(shù)是主動保護自己網(wǎng)絡(luò)免受入侵攻擊的一種網(wǎng)絡(luò)安全技術(shù)，而入侵檢測系統(tǒng)(IntrusionDetectionSystem,IDS)就是能夠?qū)嵤┰摴δ艿墓ぞ?。IDS能根據(jù)入侵行為的蹤跡和規(guī)律發(fā)現(xiàn)入侵行為，從而有效地彌補傳統(tǒng)安全防護技術(shù)的缺陷，成為防火墻之后的又一道安全防線。1980年4月，入侵檢測概念由JamesP.Anderson的提出，這是第一次正式闡述了“入侵檢測”這個概念。即提出了一種對計算機系統(tǒng)風險和威脅的分類方法，并將威脅分為外部滲透、內(nèi)部滲透和不法行為三種，還提出了利用審計跟蹤數(shù)據(jù)監(jiān)視入侵活動的思想。這被公認為是IDS最初的理論基礎(chǔ)。從1984年到1986年，斯坦福研究所的DorothyE.Denning和PeterNeumann研制出了一個實時入侵檢測系統(tǒng)模型，取名為IDES(IntrusionDetectionExpertSystem，入侵檢測專家系統(tǒng))。它具有以下的特點，獨立的特定系統(tǒng)平臺、應(yīng)用環(huán)境、系統(tǒng)弱點以及入侵類型，為構(gòu)建IDS提供了一個通用的框架，后來在1988年，TeresaLunt等人改進了該入侵檢測模型，并開發(fā)出了該檢測系統(tǒng)。該系統(tǒng)包括異常檢測器和專家系統(tǒng)，分別用于統(tǒng)計異常模型的建立和基于規(guī)則的特征分析檢測。1988年11月莫里斯蠕蟲事件發(fā)生之后，軍方、學術(shù)界和企業(yè)對網(wǎng)絡(luò)安全高度重視，這促使了人們投入更多的資金和精力去研發(fā)IDS?，F(xiàn)在，入侵檢測技術(shù)的研究正朝智能化和分布式兩個方向前進。對入侵檢測的研究，從早期的審計跟蹤數(shù)據(jù)分析，到實時入侵檢測系統(tǒng)，到目前應(yīng)用于大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測系統(tǒng)，基本上已發(fā)展成具有一定規(guī)模和相應(yīng)理論的研究領(lǐng)域。本文主要內(nèi)容入侵檢測至今已發(fā)展了20余年，在這過程中出現(xiàn)了數(shù)百種基于不同的技術(shù)和環(huán)境的入侵檢測系統(tǒng)，但大多數(shù)都具有誤報和漏報率高，靈活性有限，可移植性差等缺陷，本文針對這些缺陷，在移動代理(Mobile代理)技術(shù)和多系統(tǒng)互操作性的通用入侵檢測模型基礎(chǔ)上，提出了具有伸縮性的、重用性的、適應(yīng)性好的基于移動代理的分布式入侵檢測模型，并加以了實現(xiàn)。在一定程度上降低了誤報和漏報率，并解決了移植性和靈活性差等問題，使網(wǎng)絡(luò)檢測和效率有所提高。本文除了該章外，還有以下主要內(nèi)容。第二章概述入侵檢測和移動代理技術(shù)，主要包括入侵檢測的概念和分類，以及移動代理的定義和功能。第三章在現(xiàn)有的移動代理和入侵檢測工具基礎(chǔ)上，分析對比各自的優(yōu)缺點后，提出面向移動代理的分布式入侵檢測系統(tǒng)模型。第四章是系統(tǒng)的具體設(shè)計與實現(xiàn)，分析了該模型的一些問題，如移動代理和入侵檢測的選材和實現(xiàn)等，并加以實現(xiàn)。第五章對本文作了全面的總結(jié)。入侵檢測和移動代理技術(shù)入侵檢測技術(shù)入侵檢測概述入侵是指任何試圖危及計算機資源的完整性、機密性或可用性的行為，而入侵檢測是對入侵行為的發(fā)覺，它通過從計算機網(wǎng)絡(luò)或系統(tǒng)中的若干關(guān)鍵點收集信息，并對這些信息進行分析，從而判斷是否有違反安全策略的行為和遭到攻擊的跡象。進行入侵檢測的軟件與硬件的組合便是入侵檢測系統(tǒng)(IDS)。入侵檢測是防火墻的合理補充，幫助系統(tǒng)對付網(wǎng)絡(luò)攻擊，它擴展了系統(tǒng)管理員的安全管理能力，包括安全審計、監(jiān)視、進攻識別和響應(yīng)，從而提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。入侵檢測被認為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。網(wǎng)絡(luò)入侵檢測系統(tǒng)(IDS)是一項很新的網(wǎng)絡(luò)安全技術(shù)，目前已經(jīng)受到各界的廣泛關(guān)注，它的出現(xiàn)是對原有安全系統(tǒng)的一個重要補充。入侵檢測的分類根據(jù)目標系統(tǒng)的類型的不同可以將入侵檢測系統(tǒng)分為如下兩類：基于主機的入侵檢測系統(tǒng)。通常，基于主機的入侵檢測系統(tǒng)可監(jiān)測系統(tǒng)、事件和操作系統(tǒng)下的安全記錄以及系統(tǒng)記錄。當有文件發(fā)生變化時，入侵檢測系統(tǒng)將新的記錄條目與攻擊標記相比較，看它們是否匹配。如果匹配，系統(tǒng)就會向管理員報警，以便采取措施?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)?；诰W(wǎng)絡(luò)的入侵檢測系統(tǒng)使用原始網(wǎng)絡(luò)包作為數(shù)據(jù)源。該系統(tǒng)通常利用一個運行在混合模式下的網(wǎng)絡(luò)適配器來實時監(jiān)視并分析通過網(wǎng)絡(luò)的所有通信業(yè)務(wù)。根據(jù)入侵檢測系統(tǒng)分析的數(shù)據(jù)來源分類。入侵檢測系統(tǒng)分析的數(shù)據(jù)可以是主機系統(tǒng)日志、網(wǎng)絡(luò)數(shù)據(jù)包、應(yīng)用程序的日志、防火墻報警日志以及其他的入侵檢測系統(tǒng)的報警信息等。據(jù)此可將入侵檢測系統(tǒng)分為基于不同分析數(shù)據(jù)源的入侵檢測系統(tǒng)。根據(jù)入侵檢測分析方法的不同可將入侵檢測系統(tǒng)分為如下兩類：異常入侵檢測監(jiān)測系統(tǒng)。異常入侵檢測系統(tǒng)利用被監(jiān)控系統(tǒng)的正常行為的信息作為檢測系統(tǒng)中入侵、異常活動的依據(jù)。誤用入侵檢測系統(tǒng)。誤用入侵檢測系統(tǒng)根據(jù)已知入侵攻擊的信息(知識、模式)來檢測系統(tǒng)中的入侵和攻擊。根據(jù)檢測系統(tǒng)對入侵攻擊的相應(yīng)方式的不同可將入侵檢測系統(tǒng)分為如下兩類：主動的入侵檢測系統(tǒng)。主動的入侵檢測系統(tǒng)在檢測出入侵后，可自動地對目標系統(tǒng)中的漏洞采取修補、強制可疑用戶(可能的入侵檢測)退出以及關(guān)閉相關(guān)服務(wù)等對策和相應(yīng)措施。被動的入侵檢測系統(tǒng)。被動的入侵檢測系統(tǒng)在檢測出對系統(tǒng)的入侵攻擊后產(chǎn)生報警信息通知系統(tǒng)安全管理員，至于之后的處理工作則有系統(tǒng)管理員完成。根據(jù)系統(tǒng)各個模塊運行的分布方式的不同，可將入侵檢測系統(tǒng)分為如下兩類：集中式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊包括數(shù)據(jù)的收集與分析以及響應(yīng)都集中在一臺主機上運行，這種方式適用于網(wǎng)絡(luò)環(huán)境比較簡單的情況。分布式入侵檢測系統(tǒng)。系統(tǒng)的各個模塊分布在網(wǎng)絡(luò)中不同的計算機、設(shè)備上，一般來說分布性主要體現(xiàn)在數(shù)據(jù)收集模塊上，如果網(wǎng)絡(luò)環(huán)境復(fù)雜、數(shù)據(jù)量比較大，那么數(shù)據(jù)分析模塊也會分布，一般是按照層次性的原則進行組織。人侵檢測系統(tǒng)的發(fā)展趨勢分布式入侵檢測這個概念有兩層含義：第一層是針對分布式網(wǎng)絡(luò)攻擊的檢測方法；第二層是使用分布式的方法來檢測分布式的攻擊，其中的關(guān)鍵技術(shù)為檢測信息的協(xié)同處理與入侵攻擊的全局信息的提取。分布式系統(tǒng)是現(xiàn)代IDS主要發(fā)展方向之一，它能夠在數(shù)據(jù)收集、入侵分析和自動響應(yīng)方面最大限度的發(fā)揮系統(tǒng)資源的優(yōu)勢，其設(shè)計模型具有很大的靈活性。智能化入侵檢測使用智能化的方法與手段來進行入侵檢測。所謂的智能化方法，現(xiàn)階段常用的有神經(jīng)網(wǎng)絡(luò)、遺傳算法、模糊技術(shù)、免疫原理等方法，這些方法常用于入侵特征的辨識與泛化。利用專家系統(tǒng)的思想來構(gòu)建入侵檢測系統(tǒng)也是常用的方法之一。特別是具有自學習能力的專家系統(tǒng)，實現(xiàn)了知識庫的不斷更新與擴展，使設(shè)計的入侵檢測系統(tǒng)的防范能力不斷增強，應(yīng)具有更廣泛的應(yīng)用前景。異常檢測和誤用檢測的結(jié)合，使這兩種方法能夠緊密結(jié)合，互補各自的優(yōu)、缺點。全面的安全防御方案使用安全工程風險管理的思想與方法來處理網(wǎng)絡(luò)安全問題，將網(wǎng)絡(luò)安全作為一個整體工程來處理。從管理、網(wǎng)絡(luò)結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測等多方面對網(wǎng)絡(luò)作全面的評估，然后提出可行的全面解決方案。基于網(wǎng)絡(luò)和基于主機的入侵檢測系統(tǒng)相互結(jié)合這兩種方法都有各自的優(yōu)勢，都能發(fā)現(xiàn)對方無法檢測到的一些入侵行為。比如基于主機的入侵檢測系統(tǒng)使用系統(tǒng)日志作為檢測依據(jù)，因此它們在確定攻擊是否已經(jīng)取得成功時與基于網(wǎng)絡(luò)的檢測系統(tǒng)相比具有更大的準確性。在這方面，基于主機的入侵檢測系統(tǒng)對基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)是一個很好的補充，人們完全可以使用基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)提供早期報警，而使用基于主機的入侵檢測系統(tǒng)來驗證攻擊是否取得成功。在新一代的入侵檢測系統(tǒng)中，將把現(xiàn)在的基于網(wǎng)絡(luò)和基于主機這兩種檢測技術(shù)很好地集成起來，提供集成化的攻擊簽名、檢測、報告和事件關(guān)聯(lián)功能。移動代理技術(shù)移動代理移動代理是一個自主程序，它能夠在異構(gòu)的網(wǎng)絡(luò)中從一臺主機遷移到另一臺主機，在遷移前，暫停自身的執(zhí)行，封裝代碼及狀態(tài)，然后利用傳輸機制，從一臺主機移動到另外一臺主機，然后將代碼實例化并恢復(fù)封存的狀態(tài)，繼續(xù)運行。而移動代理系統(tǒng)則是一個允許代理在系統(tǒng)中不同主機前遷移的平臺，即一個代理運行環(huán)境，代理在其中進行自己的操作。通常情況下，移動代理系統(tǒng)由代理、代理環(huán)境和通信信道組成。代理是一個軟件實體，可以從一個代理環(huán)境移動到另一個代理環(huán)境，通過這樣可以完成相應(yīng)的任務(wù)。而在移動代理之間以及移動代理和控制臺之間的通行是通過通信信道作為媒介進行的。移動代理與入侵檢測系統(tǒng)結(jié)合的優(yōu)勢將移動代理技術(shù)和入侵檢測相結(jié)合，與傳統(tǒng)的IDS相比，主要具有以下的優(yōu)勢：減輕網(wǎng)絡(luò)負載。捕獲的數(shù)據(jù)不用送回中心分析主機，節(jié)約網(wǎng)絡(luò)資源。獨立運行。代理主機獨立自動運行。減少誤報漏報。通過代理主機，將數(shù)據(jù)可以綜合分析，對于網(wǎng)段攻擊檢測有很好的效果?；谝苿哟淼姆植际降娜肭謾z測模型傳統(tǒng)的入侵檢測系統(tǒng)缺陷入侵檢測系統(tǒng)通常采用模式匹配方式來檢測入侵，即在檢測過程中，只是把網(wǎng)絡(luò)傳輸?shù)臄?shù)據(jù)流依次進行匹配，而不查看具體數(shù)據(jù)包的內(nèi)容。這樣一旦發(fā)現(xiàn)匹配的字串，不管是不是真正的攻擊行為，就會報警。這樣不可避免的會導(dǎo)致誤報率和漏報率的出現(xiàn)。在模式匹配的檢測過程中，網(wǎng)絡(luò)中的每個數(shù)據(jù)包都要與特征庫中的記錄進行比較，據(jù)資料指出，假設(shè)網(wǎng)絡(luò)中每秒鐘流過15000個數(shù)據(jù)包，一般情況下，則每秒鐘所需要的最大比較次數(shù)為：937.5億次。這樣，必然會因為計算機的運算速度跟不上而出現(xiàn)遺漏對很多數(shù)據(jù)包的檢測而產(chǎn)生漏報。對于傳統(tǒng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)，并沒有相應(yīng)一個處理模塊來收集各個節(jié)點的數(shù)據(jù)進行綜合分析，這對一些網(wǎng)絡(luò)入侵是無濟于事。在網(wǎng)絡(luò)入侵中，有一種名為doorknob攻擊方法，入侵者試圖猜測網(wǎng)絡(luò)上幾臺主機的用戶口令，為了避免被入侵主機的懷疑，入侵者只有試圖猜了幾次放在網(wǎng)絡(luò)上的幾臺電腦主機，這樣的入侵情況在許多的主機型IDS并不會被檢測到，這種入侵網(wǎng)絡(luò)上一臺以上的電腦主機的入侵行為，稱之為網(wǎng)段入侵(networkintrusion)。基于移動代理的分布式入侵檢測系統(tǒng)系統(tǒng)設(shè)計目標對于該系統(tǒng)功能有如下的要求：首先，網(wǎng)絡(luò)性能要求。在不明顯增加網(wǎng)絡(luò)負載的情況下，能對網(wǎng)絡(luò)進行入侵檢測。其次，記錄懷疑不確定行為。攻擊的方法在不斷的更新，它們的攻擊特征也不斷變化。所以在不改動系統(tǒng)的情況下，建立某種檢測機制，在該分布式系統(tǒng)中，不但對已知的攻擊能檢測，對不能確定的行為能進行記錄。其三，自動完善要求。對懷疑的行為能進行分析和確定是否為攻擊行為，若是攻擊，能自動添加規(guī)則，使系統(tǒng)對該攻擊具有免役能力。系統(tǒng)模型設(shè)計將移動代理和入侵檢測結(jié)合起來，讓入侵檢測系統(tǒng)成為更靈活、更健壯、更自制的檢測工具，本文提出基于移動代理的分布式入侵檢測模型，是根據(jù)移動代理可以自主遷移的特性，該模型系統(tǒng)可以安裝具體的網(wǎng)絡(luò)系統(tǒng)的安全策略配置在任何需要檢測的系統(tǒng)中，只要安裝了移動代理環(huán)境和入侵檢測數(shù)據(jù)收集器，就可以成基于移動代理的分布式入侵檢測系統(tǒng)的一部分。本位提出的系統(tǒng)設(shè)計模型如圖3-1所示：圖3-1系統(tǒng)設(shè)計模型系統(tǒng)主要部件介紹移動代理環(huán)境本系統(tǒng)采用的移動代理環(huán)境是由日本IBM公司所提出的代理，它是完全由Java語言開發(fā)，并提供實用的平臺代理sWorkbench是開發(fā)或執(zhí)行mobile代理系統(tǒng)。代理這個字是由"代理"與"applet"兩個字所合成的，簡單的說就是具有代理行為的Javaapplet物件。在代理系統(tǒng)中，代理物件是可以在網(wǎng)絡(luò)中從一臺主機移動到另一個主機。代理物件在移動時，會攜帶程序代碼和所有對象的狀態(tài)數(shù)據(jù)，并采用了內(nèi)嵌的安全機制，代理的實現(xiàn)是采用事件驅(qū)動方式，并采用對稱算法進行域內(nèi)的身份認證和對移入的代理進行一致性檢測，并可通過圖形界面(Tahiti管理程序)設(shè)置安全訪問策略。代理有豐富的API函數(shù),可以很方便的構(gòu)造應(yīng)用程序，它提供的通信協(xié)議是應(yīng)用層協(xié)議ATP(基于TCP的代理傳輸協(xié)議)，但同時也支持JavaRMI。數(shù)據(jù)收集根據(jù)本系統(tǒng)的設(shè)計要求，能對分布式攻擊檢測，所以本文采用入侵檢測系統(tǒng)Snort作為數(shù)據(jù)收集器，記錄網(wǎng)絡(luò)入侵和可疑數(shù)據(jù)，最終達到在Snort基礎(chǔ)上，建立起一個更加完善的入侵檢測系統(tǒng)。模型的工作機理本系統(tǒng)的工作過程如下：在分布式的各個節(jié)點上運行Snort工具檢測攻擊，并記錄相應(yīng)的數(shù)據(jù)到數(shù)據(jù)庫，包括可以數(shù)據(jù)。啟動移動代理環(huán)境，運行移動代理程序，該程序會通過遍歷所有節(jié)點，自動的將各個數(shù)據(jù)庫里可疑的數(shù)據(jù)提取出來，并通過代理帶回移動主機上。在代理主機上對這些各節(jié)點的可疑數(shù)據(jù)綜合分析。若分析出攻擊行為，則自動添加規(guī)則到規(guī)則文件中，禁止該行為主機對該保護網(wǎng)絡(luò)的再次訪問。本模型的優(yōu)缺點分析優(yōu)點總結(jié)網(wǎng)絡(luò)性能好。該模型的實現(xiàn)是分布在網(wǎng)絡(luò)的一些節(jié)點上，檢測時對網(wǎng)絡(luò)不會有影響，占用網(wǎng)絡(luò)資源少。自我完善。該模型能對可疑數(shù)據(jù)記錄并綜合分析，最終確定是否含有攻擊，若有攻擊的存在，通過自動添加訪問規(guī)則來自動完善系統(tǒng)。降低漏報率。通過移動代理將各節(jié)點的數(shù)據(jù)綜合分析，讓檢測分析數(shù)據(jù)更為準確，實現(xiàn)了對網(wǎng)段攻擊檢測，在一定程度上彌補了傳統(tǒng)的網(wǎng)絡(luò)入侵檢測這方面的不足。不足之處但該模型仍存在著先天的缺陷。因為是對已記錄的分布式可疑數(shù)據(jù)分析，這意味著攻擊發(fā)生后，才進行系統(tǒng)的檢測和完善，即可以檢測出這種攻擊的再次來襲，但對于第一次的攻擊是檢測不出來的。分布式攻擊檢測實例DoorKnob攻擊基本原理圖3-2實例所處的網(wǎng)絡(luò)結(jié)構(gòu)假設(shè)網(wǎng)絡(luò)結(jié)構(gòu)如圖3-2所示，網(wǎng)絡(luò)由多個子網(wǎng)構(gòu)成，每個子網(wǎng)擁有多臺主機，攻擊者發(fā)起DoorKnob攻擊的步驟如下：攻擊者在時刻t以空密碼的root用戶嘗試登錄主機A1，隔一段時間T，在時刻t+T以空密碼的root用戶嘗試登錄主機B1，依此類推，在時刻t+2nT以空密碼的root用戶嘗試登錄主機Bn。如果沒有找到可利用的主機，在時刻t+(2n+1)T以密碼123456的root用戶嘗試登錄主機A1，然后再依次類推，直至發(fā)現(xiàn)可利用的主機。攻擊者通過設(shè)置適當?shù)臅r間間隔T，可避免各主機上的入侵檢測組件對其的檢測。但是基于移動代理的體系結(jié)構(gòu)能有效的檢測這種攻擊。檢測過程首先，信息收集器收集主機上的可疑信息，把登錄失敗的信息看作是一種可疑信息，因為登錄失敗可能是由于用戶輸入錯誤，也可能是由攻擊者產(chǎn)生的。當移動代理將各主機中的可疑信息融合后可得出圖3-3所示信息:圖3-3融合后的數(shù)據(jù)移動代理在各主機之間移動時，可統(tǒng)計各遠程主機的登錄失敗次數(shù)，如果超過了一個門限值（比如15），則認為是攻擊發(fā)生。圖3-3中遠程主機實際上是在發(fā)動DoorKnob攻擊，由于在各主機上的登錄失敗次數(shù)都沒有超過門限，所以駐留在主機上的IDS無法檢測到這種攻擊。移動代理訪問主機1和主機2后，檢測到主機的登錄失敗次數(shù)為13,仍沒有超過門限(15)，當移動代理遷移到主機3，檢測到它的登錄失敗次數(shù)為23，攻擊被檢測。其它主機的登錄失敗信息被認為是一種正常情況。系統(tǒng)的設(shè)計與實現(xiàn)移動代理代理系統(tǒng)介紹和配置代理系統(tǒng)架構(gòu)代理s的系統(tǒng)架構(gòu)主要分為四個階段，如圖4-1所示。首先當一個正在執(zhí)行的代理程序想要將自己外送到遠端時，會對代理sRuntime層發(fā)出請求，然后代理sRuntime層把代理的狀態(tài)消息與運行代碼轉(zhuǎn)變成序列化(serialized)的字節(jié)陣列(bytearray)；接著若是外送的請求成功時，系統(tǒng)會將代理程序的執(zhí)行動作結(jié)束，然后將字節(jié)陣列傳送至ATCI(代理TransportandCommunicationInterface)層處理，此層提供使用ATP(代理TransferProtocol)的介面，其中ATP為一個簡單的應(yīng)用層協(xié)定(application-levelprotocol)，如圖4-2所示，使用時不必顧慮代理物件是否被派送到不同的代理系統(tǒng)就可以傳送代理物件；之后，系統(tǒng)會將字節(jié)陣列附上相關(guān)的系統(tǒng)信息，像是系統(tǒng)名稱以及代理物件的id等，并以bitstream透過網(wǎng)路傳至遠端工作站。圖4-1代理的系統(tǒng)架構(gòu)下圖圖4-2ATP的示意圖代理功能模型代理系統(tǒng)首先提供了一個環(huán)境方便用戶來管理代理的基本行為：如創(chuàng)建代理、克隆代理、分派代理到遠端機器、召回遠端的代理、暫停、喚醒代理以及清除代理等，如圖4-3所示。圖4-3代理的物件模型代理與代理之間的通信，可用消息傳遞的方式來傳遞消息對象。此外，基于安全上的考慮，代理并非讓外界直接存取其消息，而是透過一個代理(proxy)提供相應(yīng)的接口與外界溝通，如圖4-4所示。這樣做還有一個好處，即代理的所在位置會透明化，也就是代理想要與遠端的代理溝通時，只在本地主機的上下文環(huán)境中產(chǎn)生對遠端代理的代理，并與此代理溝通即可，不必直接處理網(wǎng)絡(luò)連接與通信的問題。圖4-4代理基本功能介面代理安裝與配置安裝jdk-1_5_0_06-windows-i586-p.exe到G:\Java\jdk\，完成安裝后，在環(huán)境變量里給出java\bin的路徑。在網(wǎng)上下載代理s-2.0.2.jar，并解壓到G:\代理s\，可以看見以下文件META-INF、BIN、CNF、INSTALL.html、LIB、LICENSE.html、PUBLIC。設(shè)置代理環(huán)境變量：(在MS-DOS)cd到G:\代理s\binsetant_home=G:\代理ssetjava_home=G:\Java\jdk在bin下輸入ant，并確定，等上一會兒，系統(tǒng)會在bin下生成.keystore，java.policy。打開.java.policy，將G:\代理s/lib改為G:\\代理s/lib，保存退出。先將.keystore，java.policy拷貝到F:\WINNT下，在將.keystore拷貝到F:\DocumentsandSettings\Administrator下。在bin下輸入代理sd，并確認，過一會兒可以看到登陸界面,如圖4-5所示，輸入用戶名：代理_key，密碼：代理s后，即可登陸Tahiti界面，如圖4-6所示，Tahiti是可視化代理管理界面，讓使用者方便地監(jiān)視和控制代理的執(zhí)行，單擊Tahiti界面中的create，彈出Create代理窗口，點擊下面列表中的示例，如examples.hello.He1lo代理，再點擊左下角的create，會彈出對話框，這樣就產(chǎn)生了一個代理。圖4-5代理登錄界面圖4-6Tahiti運行界面Snort介紹與配置Snort的簡介Snort是一個開放源代碼的網(wǎng)絡(luò)入侵監(jiān)測系統(tǒng)，其主要功能是實時記錄和分析IP網(wǎng)絡(luò)中的數(shù)據(jù)流。通過對協(xié)議的分析、數(shù)據(jù)包內(nèi)容的搜索和匹配，它能被用于監(jiān)測許多攻擊和掃描，如緩沖區(qū)溢出、端口隱蔽掃描、CGI攻擊、SMB探測、操作系統(tǒng)識別探測等等。Snort是基于特征檢測的IDS，使用規(guī)則的定義來檢查網(wǎng)絡(luò)中的有問題的數(shù)據(jù)包。一個規(guī)則被觸發(fā)后會產(chǎn)生一條告警信息。Snort系統(tǒng)組成Snort主要由以下四個基本模塊組成：數(shù)據(jù)包嗅探器、預(yù)處理器、檢測引擎和報警輸出模塊。這些模塊使用插件模式和Snort結(jié)合，擴展起來非常方便，既保障了插件程序和Snort的核心代碼的緊密相關(guān)性，又保障了核心代碼的良好擴展性。例如有預(yù)處理和檢測插件，報警輸出插件等。預(yù)處理和檢測插件使Snort的檢測引擎能夠更有效地檢測數(shù)據(jù)包的內(nèi)容，報警輸出插件可以用多種方法輸出報警信息。Snort的安裝安裝Winpcap(windowspacketcapture)Winpcap是Windows平臺下一個免費、公共的網(wǎng)絡(luò)訪問系統(tǒng)，它為win32應(yīng)用程序提供訪問網(wǎng)絡(luò)底層的能力。Winpcap不能阻塞、過濾或控制其他應(yīng)用程序數(shù)據(jù)報的發(fā)收，它僅僅只是監(jiān)聽共享網(wǎng)絡(luò)上傳送的數(shù)據(jù)報。它提供了以下的各項功能，這些功能均有助于以太網(wǎng)數(shù)據(jù)流監(jiān)視軟件功能的實現(xiàn)：捕獲原始數(shù)據(jù)報，包括在共享網(wǎng)絡(luò)上各主機發(fā)送/接收的以及相互之間交換的數(shù)據(jù)報；在數(shù)據(jù)報發(fā)往應(yīng)用程序之前，按照自定義的規(guī)則將某些特殊的數(shù)據(jù)報過濾掉；在網(wǎng)絡(luò)上發(fā)送原始的數(shù)據(jù)報；收集網(wǎng)絡(luò)通信過程中的統(tǒng)計信息。安裝MS-SQL安裝MS-SQL企業(yè)版，安裝過程中將數(shù)據(jù)庫訪問的用戶"sa"的密碼配置好，比如："sa"。安裝完成后，在企業(yè)管理器里，建立一個名為"Snort"的數(shù)據(jù)庫。Win2K環(huán)境下安裝SnortSnort的配置在使用Snort之前，需要根據(jù)網(wǎng)絡(luò)環(huán)境和安全策略對Snort進行配置。主要包括：設(shè)置網(wǎng)絡(luò)變量配置記錄方式配置所使用的規(guī)則集在此并不需要自己編寫配置文件，只需要對Snort．conf文件進行修改即可。這個文件包含了大量的默認設(shè)置，而且有很好的注釋，用戶可以方便地對Snort進行配置。首先，對主要的配置項目介紹如下：HOME_NET變量：該變量指入侵檢測保護的網(wǎng)絡(luò)是哪個網(wǎng)段。要對該變量進行設(shè)置，找到varHOME_NETany，并把any換成需要檢測的網(wǎng)段地址就可以了,比如：34/25。配置記錄方式：找到outputdatabase，針對不同的數(shù)據(jù)庫，有相應(yīng)的選項，比如：outputdatabase:log,mssql,dbname=snortuser=sapassword=sa，填好將檢測日志記錄到什么數(shù)據(jù)庫，并給出訪問該數(shù)據(jù)庫的用戶名和密碼。在Snort安裝路徑下有一個rules文件夾，里面定義了一些檢測規(guī)則，如果檢測到符合規(guī)則的數(shù)據(jù)，會自動根據(jù)規(guī)則定義的動作做出相應(yīng)的響應(yīng)。用戶可以在該文件夾下定義更適合自己網(wǎng)絡(luò)環(huán)境的規(guī)則文件，然后在配置文件里將其包括進去，比如：#include$RULE_PATH/myrule.rules。Snort數(shù)據(jù)庫的配置數(shù)據(jù)庫作為數(shù)據(jù)存儲的部件，也要進行相應(yīng)設(shè)置，主要有以下的兩個部分：建立表單。Snort目錄下，自帶了MS-SQL、oracle等數(shù)據(jù)庫創(chuàng)建表單的文件，用戶在查詢分析器里打開相應(yīng)的表單創(chuàng)建文件，并運行就完成了Snort表單的創(chuàng)建。數(shù)據(jù)源驅(qū)動。在計算機數(shù)據(jù)源(ODBC)里的“用戶DSN”里添加數(shù)據(jù)源，在創(chuàng)建過程中選擇"Snort"數(shù)據(jù)庫，并填好能訪問該數(shù)據(jù)庫的用戶名以及密碼，比如用戶名為"sa",密碼"sa"。Snort網(wǎng)絡(luò)入侵檢測的使用snort有三種工作模式：嗅探器、數(shù)據(jù)包記錄器、網(wǎng)絡(luò)入侵檢測系統(tǒng)。嗅探器模式僅僅是從網(wǎng)絡(luò)上讀取數(shù)據(jù)包并作為連續(xù)不斷的數(shù)據(jù)流顯示在終端上。數(shù)據(jù)包記錄器模式把數(shù)據(jù)包記錄到硬盤上。網(wǎng)絡(luò)入侵檢測模式是最復(fù)雜的，但是可以根據(jù)用戶的需求進行配置?？梢宰宻nort分析網(wǎng)絡(luò)數(shù)據(jù)流以匹配用戶定義的一些規(guī)則，并根據(jù)檢測結(jié)果采取一定的動作。Snort是在命令行模式下運行的，在Windows環(huán)境下，要借助于“命令提示符”。下面對網(wǎng)絡(luò)入侵檢測系統(tǒng)進行介紹：snort最重要的用途還是作為網(wǎng)絡(luò)入侵檢測系統(tǒng)(NIDS)，使用下面命令行可以啟動這種模式：Snort-dev-l/../log-h/24-c/../etc/snort.conf其中“/../”表示Snort文件的安裝路徑。snort.conf是規(guī)則集文件。snort會對每個包和規(guī)則集進行匹配，發(fā)現(xiàn)這樣的包就采取相應(yīng)的行動。如果不指定輸出目錄，snort就輸出到/var/log/snort目錄。注意：如果想長期使用snort作為自己的入侵檢測系統(tǒng)，最好不要使用-v選項。因為使用這個選項，使snort向屏幕上輸出一些信息，會大大降低snort的處理速度，從而在向顯示器輸出的過程中丟棄一些包。此外，在絕大多數(shù)情況下，也沒有必要記錄數(shù)據(jù)鏈路層的包頭，所以-e選項也可以不用：snort-d-h/24-l./log-csnort.conf這是使用snort作為網(wǎng)絡(luò)入侵檢測系統(tǒng)最基本的形式，日志符合規(guī)則的包，以ASCII形式保存在有層次的目錄結(jié)構(gòu)中。在運行Snort工具時，界面如圖4-7所示。圖4-7Snort運行界面系統(tǒng)平臺的其他重要配置該系統(tǒng)配置在win2k系統(tǒng)下，為了系統(tǒng)能正常的工作，還需要以下配置：下載數(shù)據(jù)庫動態(tài)驅(qū)動解壓到本地某一文件夾中，該驅(qū)動包括：msbase.jar、mssqlserver.jar、msutil.jar并在環(huán)境變量中給出其路徑。結(jié)果最后顯示java開發(fā)的可視化界面上，對于代理的安全設(shè)置默認是不允許的，這就需要在其策略文件(F:\DocumentsandSettings\Administrator\.代理s\security\代理s.policy)里添加安全規(guī)則：permissionjava.lang.RuntimePermission"exitVM";本系統(tǒng)要對F:\Snort\rules\myrules.rules文件進行讀寫操作，所以必須要在代理的策略文件中要添加以下語句：permissionjava.io.FilePermission"F:\\Snort\\rules\\myrules.rules","read";permissionjava.io.FilePermission"F:\\Snort\\rules\\myrules.rules","write";系統(tǒng)實現(xiàn)技術(shù)入侵檢測數(shù)據(jù)收集啟動snort工具cd到F:\snort\bin下輸入命令：snort-d-h/25-lf:\snort\log-cf:\snort\etc\snort.conf-i2其中-i2指通過本地網(wǎng)卡的接口來檢測，其中編號為2，對于不同的主機，編號可能有所不同。具體實現(xiàn)中采用的關(guān)鍵技術(shù)數(shù)據(jù)的攜帶。該系統(tǒng)使用了單項鏈表實現(xiàn)在訪問分布式計算機的時候，將分布式數(shù)據(jù)庫的數(shù)據(jù)帶回到代理主機。分析結(jié)果的顯示。在分析完數(shù)據(jù)，將可疑地址通過java可視化界面顯示在屏幕上。分析結(jié)果的記錄。通過java對規(guī)則文件的操作，通過自動添加規(guī)則對可疑入侵行為來加以限定。代碼分析模塊該模塊主要包括兩個部分：移動遍歷代理和數(shù)據(jù)分析處理。移動遍歷代理主要完成數(shù)據(jù)的提取，數(shù)據(jù)分析處理主要完成數(shù)據(jù)的分析記錄，自動增加相應(yīng)的規(guī)則禁止入侵地址再次訪問。該模型實現(xiàn)的代碼如下：packagedesign;importcom.ibm.代理.*;importcom.ibm.代理.event.*;.*;.URL;importjava.sql.*;importjava.util.*;importjava.io.*;importjava.awt.*;importjava.awt.event.*;importjavax.swing.*;importjava.lang.*;publicclassdesignextends代理{int_theRemote=0;URLtarget;String[]ip;nodeend,head,temp,search,pre;classnodeimplementsSerializable//數(shù)據(jù)移動前序列化{StringIpSo;intTimes;nodenext;}//實現(xiàn)數(shù)據(jù)從數(shù)據(jù)庫的讀取privatevoidmyJDBC(){//把驅(qū)動、數(shù)據(jù)源通過變量傳遞StringDriver="sun.jdbc.odbc.JdbcOdbcDriver";Stringsource="jdbc:odbc:snort";try{//查找用于JDBC驅(qū)動的類，這種查找會使得JAVA虛擬機裝入該類，這個類的靜態(tài)//初始化語句塊會對驅(qū)動程序進行初始化，從而下面可直接使用該驅(qū)動程序進行//數(shù)據(jù)庫連接，無需要做其他額外的事情Class.forName(Driver);}catch(ClassNotFoundExceptionexc){//當沒有驅(qū)動程序時，應(yīng)用程序無法繼續(xù)運行，故退出程序System.out.println("沒有發(fā)現(xiàn)驅(qū)動程序:"+Driver);exc.printStackTrace();System.exit(1);}try{//建立與指定數(shù)據(jù)庫的連接ConnectionConnection=DriverManager.getConnection(source);SQLWarningwarn=Connection.getWarnings();while(warn!=null){System.out.println(warn.getMessage());warn=warn.getNextWarning();}//創(chuàng)建一個用于執(zhí)行預(yù)編譯SQL的語句對象：查詢記錄的cidStringsql="selectip=dbo.inet_ntoa(ip_src)fromiphdr,event,signaturewhereiphdr.cid=event.cidandsignature=signature.sig_idandsig_name='SCANProxy(8080)attempt'";PreparedStatementpStm=Connection.prepareStatement(sql);//發(fā)送和執(zhí)行預(yù)編譯的SQL語句，獲得查詢結(jié)果集ResultSetresult=pStm.executeQuery();//"i"用于記錄讀出數(shù)據(jù)庫多少個記錄，"j"在輸出記錄時用于循環(huán)inti=0,j=0;//使用迭代模式訪問查詢結(jié)果集，計算有多少條數(shù)據(jù)while(result.next()){i++;}//關(guān)閉查詢結(jié)果集合result.close();//關(guān)閉SQL語句pStm.close();System.out.println("i="+i);i=i-1;//建立"i"個單元的數(shù)組ip=newString[i+1];//再讀數(shù)據(jù)庫//創(chuàng)建執(zhí)行簡單SQL語句的SQL語句對象Statementstm=Connection.createStatement(); //查詢記錄的IP地址，發(fā)送和執(zhí)行簡單SQL語句，獲得查詢結(jié)果集sql="selectip=dbo.inet_ntoa(ip_src)fromiphdr,event,signaturewhereiphdr.cid=event.cidandsignature=signature.sig_idandsig_name='SCANProxy(8080)attempt'";result=stm.executeQuery(sql);//使用迭代模式訪問查詢結(jié)果集，把數(shù)據(jù)用數(shù)組接受下來while(result.next()){ip[j]=result.getString("ip");j++;}//輸出數(shù)組for(j=0;j<=i;j++){intk=j+1;System.out.println("第"+k+"個IP地址："+ip[j]+"\t");}//關(guān)閉查詢結(jié)果集合result.close();//關(guān)閉SQL語句stm.close();//關(guān)閉數(shù)據(jù)庫連接Connection.close();}catch(SQLExceptionexc){System.out.println("在執(zhí)行數(shù)據(jù)庫訪問時發(fā)生了錯誤！");exc.printStackTrace();}}//建立單項鏈表，添加頭和尾，并把第一個ip地址插入進去。privatevoidaddhead(){temp=newnode();head=temp;temp=newnode();temp.IpSo="end";end=temp;head.next=end;temp=newnode();temp.IpSo=ip[0];temp.Times=1;temp.next=head.next;head.next=temp;}//在鏈表尾添加節(jié)點，并把數(shù)據(jù)寫道剛建立的節(jié)點中privatevoidaddnode(){inti;if(_theRemote==0)i=1;elsei=0;while(i<ip.length){search=head.next;booleant=false;temp=newnode();pre=temp;while(!t&&(search.next!=null)){if(ip[i].equals(search.IpSo)){t=true;break;}pre.next=search;search=search.next;}if(t){search.Times=search.Times+1;}else{search=pre.next;temp=newnode();temp.IpSo=ip[i];temp.Times=1;temp.next=search.next;search.next=temp;}i++;}}//遍歷鏈表，把鏈表的節(jié)點值輸出privatevoidprint(){search=head.next;while(search!=null){if(search.Times>10){System.out.println(search.IpSo+":"+search.Times+"次");}search=search.next;}}//數(shù)據(jù)分析處理privatevoidaddrule(){StringIP="可疑地址:";System.out.println("檢查分析數(shù)據(jù)中（是否有攻擊數(shù)據(jù)）………………");search=head.next;JFrameframe=newJFrame("基于代理平臺的分布式入侵檢測系統(tǒng)");frame.setLocation(newPoint(341,256));JPanelcontentPane=(JPanel)frame.getContentPane();contentPane.setPreferredSize(newDimension(341,129));JLabelLabel1=newJLabel("數(shù)據(jù)分析完畢，可疑結(jié)果已經(jīng)記錄",JLabel.CENTER);contentPane.add(Label1,BorderLayout.NORTH);JLabelLabel2;while(search!=null){if(search.Times>3){try{RandomAccessFileraf=newRandomAccessFile("F:\\Snort\\rules\\myrules.rules","rw");System.out.println("Filelength="+raf.length());intL=(int)raf.length();raf.seek(L);raf.writeBytes("alerttcp"+search.IpSo+"any->$HOME_NETany;");raf.close();IP=IP+""+search.IpSo;Label2=newJLabel(IP,JLabel.CENTER);contentPane.add(Label2,BorderLayout.CENTER);System.out.println(search.IpSo+":"+search.Times+"次");}catch(IOExceptione){System.out.println("addrules.打開文件出錯！");}}search=search.next;}frame.pack();frame.setVisible(true);System.out.println("數(shù)據(jù)已分析處理完畢！");}publicvoid