1、“.....参数说明参数规则文件名参数为规则描述字串参数为配置文件中链接的规则文件堆栈。返回值无。规则选项解析功能解析每条规则中的选项项部分，并将其加入到二维规则链表中的适当位置。参数说明参数为规则描述字串参数为规则类型协议类型。返回值无。检测引擎模块检测处理流程图检测处理流程主要数据结构模式匹配数据结构结构规则响应方式是吗解析后的数据包送至检测引擎规则响应方式是吗协议类型是吗协议类型是吗进入报警链表进入节点链表从左到右遍历规则树节点查看源目的源端口目的端口是否匹配规则选项是否匹配进入选项树节点相应处理相应处理匹配成功返回匹配不成功返回匹配不成功返回是否是否是是否是否指明非方式......”。

2、“.....分别应用三个规则列表，即分别进行处理。参数说明为结构数据包指针。返回值匹配返回，否则返回。协议类型处理函数功能根据不同的协议类型，选择对应的二维规则链表，对当前数据包进行规则检测。参数说明为结构数据包指针。返回值返回说明已进行处理。规则链表头检测函数,功能对二维规则链表头进行遍历搜索，实现对当前数据包规则头进行匹配检测。参数说明为规则树节点指针为结构数据包指针。返回值表示匹配表示不匹配。规则链表选项检测函数,功能对二维规则选项链进行遍历搜索，实现对当前数据包规则选项部分进行匹配检测。参数说明为规则选项树节点指针为结构数据包指针。返回值表示匹配表示不匹配。模式匹配检测函数,功能检测数据包是否与规则选项中的模式串相匹配，即数据包是否包括入侵特征。参数说明数据包缓冲区......”。

3、“.....输出组件模块当检测引擎检测到攻击事件时需要将报警数据分类存放到数据库中，以提供灵活的解决方案，实现显示查询统计功能。主要数据结构数据库名主机名检测器标识事件标识额外参考信息结构指针口令用户名连接端口检测器名解码类型报警机制不否忽略过滤版本号主要函数建立数据库连接功能初始化数据库连接。参数说明参数为指针。返回值无。关闭数据连接功能关闭数据连接。参数说明参数为指针。返回值无。报警数据插入到数据库函数,功能将报警数据插入到数据库函数。参数说明参数为指针。返回值无。第五章数据库设计数据表设计本系统的数据库包含个数据表，这些表都满足第三范式的要求......”。

4、“.....事件表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键整型攻击特征编号日期型报警时间攻击特征表字段名数据类型长度字段描述不允许空备注整型特征参考编号主键字符型事件编号主键整型攻击类别编号整型报警级别整型规则版本号整型规则唯标识特征参考表字段名数据类型长度字段描述不允许空备注整型特征参考编号主键整型参考序列号主键整型参考编号攻击类型表字段名数据类型长度字段描述不允许空备注整型攻击类别编号主键字符型攻击类型名专家建议表字段名数据类型长度字段描述不允许空备注整型参考编号主键可变长度类型专家建议解码类型表字段名数据类型长度字段描述不允许空备注整型编号主键字符型解码类型报警机制表字段名数据类型长度字段描述不允许空备注整型编号主键字符型报警类型头表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键整型源地址整型目的地址整型......”。

5、“.....议版本号整型头长度整型服务类型整型报文总长度整型报文标识整型标志整型分段偏移量整型生存期整型协议号整型报头校验和头表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键整型源端口号整型目的端口号整型序列号整型确认号整型数据偏移整型系统保留整型标识整型接收窗口大小整型检验和整型选项头表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键整型源端口号整型目的端口号整型报文长度整型检验和头表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键整型报文类型整型报文代码整型检验和整型标识整型序列号协议类型表字段名数据类型长度字段描述不允许空备注整型协议编号主键字符型协议名称数据包记录表字段名数据类型长度字段描述不允许空备注整型探测器编号主键整型事件编号主键字符型数据包祥细信息数据表关系设计数据表之间的关系如......”。

6、“.....它支持远程查询和更新，因此可以将多个分布的探测器报警数据通过数据输出组件记录到同个数据库中，便于集中管理和查询。具体结构如下图所示图探测器探测器数据库连接数据集数据源用户界面数据输出组件数据输出组件第六章通信控制代理设计中央控制台对网络上的各个检测器进行控制是通过通信控制代理来完成的。通信控制代理分为控制端部署在控制台端和受控端部署在检测器端。其原理是通过建立两端的连接，受控端先启动个监听线程，随时监听控制端发来的控制命令,并加以处理，以实现远程启动或停止检测器进程，也可以用来远程更新检测规则文件。通信控制代理使用了进行开发。远程处理能够方便地构建大范围分布式应用程序，而不管应用程序组件是全部集中在台计算机上还是分布网络的其他地方。在远程处理系统中......”。

7、“.....信道是个承载数据流，根据特定网络协议创建包并将该包发送到另台计算机的类型。本系统使用来建立类型的传输信道，另外，还提供了和类来构建传输信道。传输信道建立后，即可接收远程系统发送的控制命令及运行参数，实现远程控制。通信控制代理逻辑结构图受控端设计名字空间导入命名空间包含基本类和基类，这些类定义常用的值和引用数据类型事件和事件处理程序接口属性和异常处理。提供些使得可以进行多线程编程的类和接口。控制台控制端受控端检测器更新规则文件发送控制命令启动停止检测器更新指定规则文件传送接收控制命令通信控制代理应用新规则传输规则文件启动停止检测器进程为需要严密控制网络访问的开发人员提供了接口的托管实现。命名空间包含表示和字符编码的类。为当前网络上使用的多种协议提供了简单的编程接口。提供特定的类，使您能够与系统进程事件日志和性能计数器进行交互......”。

8、“.....结构如图所示程序入口类状态对象类监听进程控制类图类设计类为受控端程序入口类，在程序入口函数中创建个对象，用于监听解析主控端发来的控制命令，以启动停止检测器进程。创建个线程对象，使程序以多线程方式执行。在中创建线程时，将使用采用委托作为其唯参数的构造函数创建类的新实例。但线程在调用方法前不会开始执行。调用后，将从由委托引用的方法的第行开始执行。类定义如下应用程序的主入口点。程序入口函数在此处添加代码以启动应用程序创建对象创建线程启动线程类设计类是完成受控端功能的核心，在此类中主要完成的创建监听主控端发来的控制命令进程控制等。常量及域定义预定义启动进程命令字串预定义停止进程命令字串定义类型数组，用于存放获取的指定进程定义类型的对象实例始终是只读的，通过属性可以获得指定进程数量定义类型的对象说明定义类型的对象......”。

9、“.....它允许线程通过发信号互相通信。当线程开始个活动此活动必须在其他线程进行之前完成时，它调用方法将设置为非终止状态。调用，其口令为。管理员启动系统后应立即建立其他级别的管理员用户并修改管理员的口令。为了严格控制系统的安全使用，系统对使用系统各种功能的管理员的级别进行了限制，高级管理员能够完成探测器的控制和检测规则的制定和更新工作低级管理员能够完成信息查询分析统计和数据库后备等工作，因此，为了使系统能够正常工作必须建立相应的管理员。同时，为了使系统有较好的安全性，应采取诸权分离的方案，各种功能应由不同的人来执行。操作员信息维护可分为增加管理员删除管理员修改口令修改级别和浏览管理员列表。报警事件数据库维护低级管理员可以通过数据库维护模块删除实时数据库中指定时间以前的内容，系统自动将被删除的内容备份到后备数据库中也可以删除后备数据库中指定时间以前的内容......”。