入侵检测技术剖析

　　用专家系统对入侵进行检测，经常是针对有特征入侵行为，是较为智能的方法。专家系统主要是运用规则进行分析，规则即知识，不同的系统与设置具有不同的规则，且规则之间往往无通用性。专家系统的建立依赖于知识库的完备性，知识库的完备性又取决于审计记录的完备性与实时性。入侵的特征抽取与表达，是入侵检测专家系统的关键。在系统实现中，将有关入侵的知识转化为if-then结构（也可以是复合结构），条件部分为入侵特征，then部分是系统防范措施。运用专家系统防范有特征入侵行为的有效性完全取决于专家系统知识库的完备性。

　　实现一例

　　以下是在WINDOWS2000，VB6.0环境下测试通过的对本机的木马探测及常规扫描进行监听的简单程序。

　　Dim tmpstr As String ’存放捕获的数据
　　Dim NOW_OUT As Integer '总共出去连接的有几个Winsock

　　Private Sub Command1_Click（）
　　ListPorts.AddItem txtADDPORT.Text ’把文本框中的端口增加到列表框中
　　End Sub

　　Private Sub Command2_Click（）
　　On Error Resume Next  ’如出错就在下一个端口重新开始监听
　　If Command2.Caption = "监听" Then
　　For i = 0 To ListPorts.ListCount – 1 ’如果命令框为‘监听’，则初始化要监听的端口数量I
　　Load Winsock1（i + 1） ' 加载监听端口的winsock1数组控件
　　Winsock1（i + 1）.LocalPort = ListPorts.List（i） '使每一个WINSOCK数组变量对应一个端口
　　Winsock1（i + 1）.Listen '监听
　　Next i
　　Command2.Caption = "停止"
　　Else
　　For i = 1 To Winsock1.Count - 1
　　Unload Winsock1（i）
　　Next i ’假如caption 为停止，则卸载WINSOCK1数组控件
　　For i2 = 1 To Winsock2.Count - 1
　　Unload Winsock2（i2）
　　Next i2
　　Command2.Caption = "监听"
　　End If
　　End Sub

　　Private Sub Command3_Click（）
　　Unload Me
　　End Sub