3.3 規(guī)則解析模塊

　　規(guī)則解析模塊將從控制中心傳送過(guò)來(lái)的規(guī)則按照一定的數(shù)據(jù)結(jié)構(gòu)存儲(chǔ)在規(guī)則庫(kù)中， 作為對(duì)入侵行為進(jìn)行判斷分析的知識(shí)庫(kù)。在該模塊的設(shè)計(jì)中， 本文采用動(dòng)態(tài)生成鏈表的方式構(gòu)建規(guī)則的語(yǔ)法樹(shù)， 把所選擇的規(guī)則存儲(chǔ)在數(shù)據(jù)檢測(cè)器所在的主機(jī)內(nèi)存中， 規(guī)則鏈表的結(jié)構(gòu)如圖9 所示。

　　第一層是具有相同處理動(dòng)作（Alert （ 警告），Log （ 記錄），Pass（ 忽略）） 的節(jié)點(diǎn)， 以RuleListNode 結(jié)構(gòu)表示。其次，是在具有相同處理動(dòng)作的基礎(chǔ)上， 按照不同的協(xié)議類(lèi)型（IP， TCP， ICMP 和UDP） 再分成幾條鏈表。而在每條鏈表中， 具有相同源IP 地址、目的IP 地址、源端口和目的端口的規(guī)則頭節(jié)點(diǎn)RuleTreeNode 構(gòu)成了結(jié)構(gòu)圖的第二層。以下的幾層由具有相同源IP 地址、目的IP 地址、源端口和目的端口所對(duì)應(yīng)的規(guī)則選項(xiàng)節(jié)點(diǎn)即tTreeNode 組成。例如在一組規(guī)則中有45 條檢測(cè)CGI-BIN 探測(cè)活動(dòng)的規(guī)則， 而它們都具有相同的源/目的IP 地址及端口號(hào)， 則它們?cè)阪湵碇锌梢詫⑦@些共同屬性壓縮到一個(gè)單獨(dú)的RuleTreeNode 節(jié)點(diǎn)中， 而每個(gè)不同的屬性（ 規(guī)則選項(xiàng)） 保存在與RuleTreeNode 節(jié)點(diǎn)相連的OptTreeNode 節(jié)點(diǎn)中。這樣的結(jié)構(gòu)方式， 將大大有助于提高檢測(cè)速度。

　　建立規(guī)則鏈表的流程如下： 首先讀取規(guī)則文件， 檢查規(guī)則文件是否存在并可讀， 然后依次讀取每一條規(guī)則， 同時(shí)進(jìn)行多行規(guī)則的整理； 對(duì)規(guī)則進(jìn)行解析， 按類(lèi)型進(jìn)行分支處理， 并用相應(yīng)的規(guī)則語(yǔ)法表示， 建立規(guī)則語(yǔ)法樹(shù)； 最后進(jìn)行一些完善操作， 如連接所有的動(dòng)態(tài)規(guī)則，進(jìn)行規(guī)則樹(shù)的完整性檢查。其中解釋規(guī)則并將其添加到規(guī)則鏈表的流程如圖10 所示。

　　圖10 規(guī)則解析模塊流程

　　作為個(gè)人通信的一個(gè)重要的組成部分， 無(wú)線(xiàn)局域網(wǎng)在現(xiàn)實(shí)及未來(lái)的社會(huì)生活中將得到廣泛的應(yīng)用。無(wú)線(xiàn)入侵檢測(cè)技術(shù)也將必然隨著計(jì)算機(jī)技術(shù)的發(fā)展而發(fā)展， 隨著無(wú)線(xiàn)網(wǎng)絡(luò)的普及和移動(dòng)設(shè)備的性能的提高而得到進(jìn)一步的發(fā)展。下一步將在本文研究的基礎(chǔ)上， 重點(diǎn)解決入侵檢測(cè)系統(tǒng)的應(yīng)用瓶頸問(wèn)題， 以大幅度提升檢測(cè)準(zhǔn)確性以及大量應(yīng)用網(wǎng)絡(luò)環(huán)境下的系統(tǒng)性能。
?