1、“.....向右移动，使与中的后缀相对应。示意图如下图好后缀规则，只有的部分前缀出现在中坏字符规则从右到左的扫描过程中，发现与不同，如果中存在个字符与相同，且那么就将直接将向右移使与对齐，然后再从右到左进行匹配。图坏字符规则，与不匹配，出现在中如果中不存在任何与相同的字符，则直接将的第个字符与的下个字符对齐，再从右到左进行比较。图坏字符规则，与不匹配，没有出现在中移动规则当文本字符串与模式字符不匹配时，根据函数和计算出的偏移值，取两者中的大者。存放的数组为，则，如果未在模式字符中出现则为的长度。存放的数组为，则。即是和的最长般后缀。计算数组使得计算函数变得简洁。最后取和的最大值。系统总体设计系统概述系统构建基于操作系统，并且兼容各种版本，系统的整体目标是实现个平台下基于规则基于误用的网络入侵检测系统......”。

2、“.....在现有已知的入侵特征下建立规则库，实现数据包地捕获和分析，完成对漏洞攻击和扫描等攻击行为的检测和报告。同时对攻击事件存入数据库，以便事后取证。系统基于平台构建的基于规则基于误用的网络入侵检测系统，能够有效检测入侵事件防止入侵安全审计。系统的开发选择支持国际标准的开发平台类型系统结构和技术方案，支持跨平台跨越应用的移植，使系统的硬件环境通信环境软件环境相互间依赖程度减至最小，使其各自发挥优势为使能方便用户开发了个中央控制台，方便用户管理和使用系列的功能。系统总体结构框架图系统总体结构框架开发环境开发系统所采用的语言是，表是开发系统所用到的相关部件。表系统开发软体环境部件名称软体系统平台开发工具编译环境运行环境数据库开发包响应模块设计实现规则库设计实现要有效地捕捉入侵行为，必须拥有个强大的入侵特征数据库，这就如同公安部门必须拥有健全的罪犯信息库样。但是......”。

3、“.....遇到变脸的入侵行为往往相逢不相识。因此，管理员有必要学会如何创建满足实际需要的特征数据样板，做到万变应万变,中的规则特征就是指用于判别通讯信息种类的样板数据，通常分为多种，以下是些典型情况及识别方法来自保留地址的连接企图可通过检查报头的来源地址轻易地识别。带有非法标志联合物的数据包可通过对比报头中的标志集与已知正确和标记联合的不同点来识别。含有特殊病毒信息的可通过对比每封的主题信息和病态入侵检测系统检测模块响应模块数据捕获数据分析规则库规则匹配引擎响应单元日志库的主题信息来识别，或者，通过搜索特定名字的附近来识别。查询负载中的缓冲区溢出企图可通过解析域及检查每个域的长度来识别利用域的缓冲区溢出企图。通过对服务器发出上千次同命令而导致的攻击通过跟踪记录个命令连续发出的次数，看看是否超过了预设上限，而发出报警信息......”。

4、“.....从以上分类可以看出特征的涵盖范围很广，有简单的报头域数值有高度复杂的连接状态跟踪有扩展的协议分析。规则库的建立报头值的结构比较简单，而且可以很清楚地识别出异常报头信息，因此，特征数据的首席候选人就是它。个经典的例子是明显违背中规定的标准设置了和标记的数据包。这种数据包被许多入侵软件采用，向防火墙路由器以及系统发起攻击。因为大多数操作系统和应用软件都是在假定被严格遵守的情况下编写的，没有添加针对异常数据的处理程序，所以许多包含报头值的漏洞利用都会故意违反的标准定义，明目张胆地揭发被攻击对象的偷工减料行为。许多包含代码的不完善软件也会产生违反定义的报头值数据。并非所有的操作系统和应用程序都能全面拥护定义，至少会存在个方面与不协调。随着时间推移，执行新功能的协议可能不被包含于现有中......”。

5、“.....严格基于的特征数据就有可能产生漏报或误报效果。对此，也随着新出现的违反信息而不断进行着更新其中，函数是调用其它事件分析程序进行事件分析响应。中央控制器响应模块报警效果如图图响应模块运行效果图系统测试和分析攻击检测测试扫描是黑客攻击的前奏，如果能及时地分析出扫描者的意图就能及时地避免黑客的攻击。所以此测试是检测扫描攻击行为有效的个重要步骤。测试目的测试系统是否能对网络和主机攻击的进行检测。测试系统是否能对攻击检测结果输出。动态规则链表是否支持添加的新规则。测试过程运用扫描软件对网络或主机进行扫描。运用软件监听网络，截获扫描数据包的分析结果。根据结果编写条最适合的规则，对比里的规则。查看不同点进行修改。添加到规则库。开启入侵检测系统得扫描检测系统进行检测再次运用扫描软件对网络或主机进行扫描。检查检测结果......”。

6、“.....端口为任意，除的标志项目外其它的项为空，标志项为，对应为。所以在规则库中我们可以添加条规则，如下表表规则表项目值其它项在中的文件中也有同样的规则，它的为，是因为它检测了保留位里的低两位。用检测系统对扫描攻击进行检测得到结果如图图检测结果此测试用的扫描软件是，进行的扫描命令为。通过测试，切正常。但是值得注意的是攻击软件的数据特征会随时变化，为了应对这种随时变化的情况就需要编写的规则要般化，具有针对性随时注意攻击特征的变化，修改规则库。误报和漏报测试入侵检测系统是多层安全体系架构的关键组成部分。但目前的入侵检测技术还不够完善，存在大量误报和漏报现象。误报是指在安全事件并没有发生时报告发现了攻击，漏报是指在安全事件发生时却没有发出报警。漏报和误报不仅阻碍了的进步应用，也使得些专家对的存在价值提出置疑......”。

7、“.....测试过程首先建立相对的规则。选择能引发告警的数据包。发送数据包进行测试。测试结果分析表误报和漏报测试结果及说明测试项目测试结果分析说明误报测试会产生大多数的攻击软件发送的数据包都没有按照中定义的来组织，而些正常的软件有时也会发生相同的现象。这就使得误报的情况会发生。漏报测试会产生由于基于误用的入侵检测系统只能对已知的攻击行为进行检测，所以对些未知的攻击行为或者攻击软件更改了攻击的特征，这样将无法对攻击行为进行告警。这就使得漏报的情况发生。由于入侵检测系统技术的自身原因，误报和漏报并不能完全的消除。而只能降低误报和漏报出现的概率。但是当根据操作系统的指纹特征数据库综合评估这些指标时，就可以准确确定主机的操作系统和服务。例如，分析值为的数据包，指纹引擎将操作系统范围缩小到或，因为这两种操作系统具有同样的值，进步检验窗口值，则可以区分和......”。

8、“.....由于在发出安全报警之前，采用被动指纹识别技术的会首先确定目标主机是否真正受到攻击的影响，因此这种能够大大减少误报和漏报，进而提供更准确的检测率。结论本系统设计实现了基于的误用特征规则检测技术构架的网络入侵检测系统以有效方式检测入侵行为。保证用户及时的发现入侵，并采取相应的措施，有效的保证了网络的安全。基于误用特征规则检测技术提供了些良好特性。首先，这种技术使用种模式或特征表示攻击，进而发现相同的攻击。这种方法能检测出许多已知的攻击行为，能尽最大的可能性减少误报。但是它的优点又是缺点由于只能检测已知攻击行为，使系统对未知的攻击行为无能为力。由于能力和水平的限制，该系统还是存在误报率高和漏报的问题，若想在短期开发个完善的入侵检测系统工作量比较大，所以本系统还有很多有待完善的地方，希望通过以后的继续开发，使系统功能更加完善和高效......”。

9、“.....。宋劲松网络入侵检测北京国防工业出版社，。刘文涛网络安全开发包详解北京电子工业出版社，。唐正军网络入侵检测系统的设计与实现北京电子工业出版社，。张世斌网络安全技术北京清华大学出版社，，。谢希仁计算机网络北京电子工业出版社，。美详解卷协议范建华等译北京机械工业出版社，。文档来源论文网我们也有必要定期地回顾或更新存在的特征数据定义。非法报头值是特征数据的个非常基础的部分，合法但可疑的报头值也同等重要。例如，如果存在到端口或的可疑连接，就可报警说可能有特洛伊木马在活动再附加上其他更详细地探测信息，就能够进步地判断是真马还是假马。不同的入侵检测系统有不同的规则库，本系统的规则库结构如表所示。表规则库结构选项名称数据库定义名称意义规则号用于定义规则的编号协议字段值在规则中上层协议的代码上层协议上层协议的名称......”。