32、网络攻击模拟与规则配置实战

neovim7hacker

于 2025-12-08 12:05:35 发布

阅读量6

点赞数

CC 4.0 BY-SA版权

分类专栏： Linux防火墙实战精要文章标签：网络攻击模拟 Snort fwsnort

本文链接：https://blog.youkuaiyun.com/neovim7hacker/article/details/155703229

Linux防火墙实战精要专栏收录该内容

31 篇文章 ¥499.90

订阅专栏¥69.90

会员秒杀 ¥9.9 重磅福利

超级会员免费看

网络攻击模拟与规则配置实战

在网络安全领域，攻击模拟和规则配置是保障系统安全的重要环节。本文将深入探讨攻击模拟的方法，以及如何配置规则来应对各类网络攻击。

1. 攻击模拟

攻击模拟是一种重要的安全测试手段，通过模拟攻击者的行为，可以检测系统的安全性。下面将介绍使用 snortspoof.pl 脚本进行攻击模拟的方法。

1.1 使用 `snortspoof.pl` 脚本发送攻击

使用 snortspoof.pl 脚本可以根据 exploit.rules 文件中描述的攻击进行发送。以下是具体的操作步骤：

[spoofer]#  tcpdump -i eth1 -l -nn -s 0 -X -c 1 port 635

执行上述命令后，会得到如下输出：

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 65535 bytes
23:32:08.563668 IP 11.11.22.22.10000 > 44.44.55.55.635: UDP, length 14
     0x0000:  4510 002a 0000 4000 4011 b62f 0b0b 1616  E..*..@.@../....
     0x0010:  c0a8 0a03 2710 027b 0016 90cf 5eb0 0289  ....'..{....^...
0x0020:  06fe c889 4604 b006 8946                 ....F....F
1 packets captured
2 packets received by filter
0 packets dropped by kernel

从上述输出可以看出， snortspoof.pl 脚本发送了一个 UDP 数据包，目标 IP 地址为 44.44.55.55 ，端口为 635 。该数据包的应用层数据与 Snort 规则 ID 315 期望看到的内容完全一致。Snort 和 fwsnort 在监测到这样的数据包后都会生成一个事件，而 11.11.22.22 这个 IP 地址看起来像是攻击者的地址。

1.2 攻击模拟的原理

攻击者可以利用 Snort 规则集作为指导，创建看似恶意的流量，从而迫使 Snort 生成误报。 snortspoof.pl 脚本通过解析 Snort 规则集，并使用原始套接字向目标 IP 地址发送匹配的流量，实现了这一过程的自动化。虽然 snortspoof.pl 脚本仅适用于 Snort IDS，但类似的策略也可以应用于任何使用签名来检测可疑流量的 IDS，只需要一份签名集和一个经过稍微修改的 snortspoof.pl 脚本即可。

2. 伪造 UDP 攻击

许多入侵检测系统采用的一种对策是跟踪 TCP 连接的状态，只对在已建立会话中传递的攻击发出警报。然而，这种方法对于 UDP 攻击并不有效，除非采用基于时间的机制来跟踪客户端发送的数据包以及相应的服务器响应。

2.1 UDP 攻击的特点

UDP 是一种无连接的协议，不需要建立双向通信。因此，即使入侵检测系统能够跟踪 UDP 通信，也无法有效应对来自 UDP 客户端的伪造攻击。

2.2 Snort 对 UDP 攻击的应对

Snort - 2.6.1 包含一个增强的 stream5 预处理器，支持 UDP。这使得伪造 UDP 服务器响应对于 Snort 来说变得不那么有效。一般来说，解析 IDS 的签名集并在网络上进行伪造是测试 IDS 连接跟踪能力的一种有效方法。

3. 完整的 fwsnort 脚本

fwsnort 是一个将 Snort 规则转换为 iptables 规则的工具。下面将介绍如何创建一个完整的 fwsnort 脚本，并使用它来配置 iptables 规则。

3.1 创建 fwsnort 脚本

要创建包含七个 Snort 规则（规则 ID 为 1332、1336、1338、1339、1341、1342 和 1360）的 fwsnort 脚本，可以执行以下命令：

[iptablesfw]# fwsnort --snort-sid 1332,1336,1338,1339,1341,1342,1360

执行上述命令后，会得到如下输出：

[+] Parsing Snort rules files...
[+] Found sid: 1332 in web-attacks.rules
    Successful translation.
[+] Found sid: 1336 in web-attacks.rules
    Successful translation.
[+] Found sid: 1338 in web-attacks.rules
    Successful translation.
...
[+] Logfile:         /var/log/fwsnort.log
[+] Iptables script: /etc/fwsnort/fwsnort.sh

从上述输出可以看出，Snort 规则已正确转换为 iptables 规则，fwsnort 脚本位于 /etc/fwsnort/fwsnort.sh 。

3.2 fwsnort 脚本的结构

以下是完整的 fwsnort 脚本：

#!/bin/sh
#
########################################################################
#
# File:  /etc/fwsnort/fwsnort.sh
#
# Purpose:  This script was auto-generated by fwsnort and implements an
# 
iptables ruleset based upon Snort rules. For more information,
# 
see the fwsnort man page or the documentation available at
# 
http://www.cipherdyne.org/fwsnort.
#
# Generated with: fwsnort --snort-sid 1332,1336,1338,1339,1341,1342,1360
# Generated on host:  iptablesfw
# Generated at:       Wed Jul 18 18:26:19 2007
#
# Generated on host: iptables
#
# Author:  Michael Rash <mbr@cipherdyne.org>
#
# Version: 1.0 (file revision: 381)
#
########################################################################
#
#==================== config ====================
ECHO=/bin/echo
IPTABLES=/sbin/iptables
#================== end config ==================

###
############ Create fwsnort iptables chains. ############
###
$IPTABLES -N FWSNORT_FORWARD 2> /dev/null
$IPTABLES -F FWSNORT_FORWARD
$IPTABLES -N FWSNORT_FORWARD_ESTAB 2> /dev/null
$IPTABLES -F FWSNORT_FORWARD_ESTAB
$IPTABLES -N FWSNORT_INPUT 2> /dev/null
$IPTABLES -F FWSNORT_INPUT
$IPTABLES -N FWSNORT_INPUT_ESTAB 2> /dev/null
$IPTABLES -F FWSNORT_INPUT_ESTAB
$IPTABLES -N FWSNORT_OUTPUT 2> /dev/null
$IPTABLES -F FWSNORT_OUTPUT
$IPTABLES -N FWSNORT_OUTPUT_ESTAB 2> /dev/null
$IPTABLES -F FWSNORT_OUTPUT_ESTAB
###
############ Inspect ESTABLISHED tcp connections. ############
###
$IPTABLES -A FWSNORT_FORWARD -p tcp -m state --state ESTABLISHED -j 
FWSNORT_FORWARD_ESTAB
$IPTABLES -A FWSNORT_INPUT -p tcp -m state --state ESTABLISHED -j 
FWSNORT_INPUT_ESTAB
$IPTABLES -A FWSNORT_OUTPUT -p tcp -m state --state ESTABLISHED -j 
FWSNORT_OUTPUT_ESTAB
###
############ web-attacks.rules ############
###
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
/usr/bin/id command attempt"; flow:to_server,established; 
content:"/usr/bin/id"; nocase; classtype:web-application-attack; sid:
1332; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "/usr/bin/id " --algo bm -m comment --comment "msg: WEB-ATTACKS 
/usr/bin/id command attempt; classtype: web-application-attack; rev: 5; 
FWS:0.9.0;" -j LOG --log-ip-options --log-tcp-options --log-prefix "[1] 
SID1332 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string 
"/usr/bin/id" --algo bm -m comment --comment "msg: WEB-ATTACKS /usr/bin/id 
command attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j LOG 
--log-ip-options --log-tcp-options --log-prefix "[1] SID1332 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
chmod command attempt"; flow:to_server,established; content:"/bin/chmod"; 
nocase; classtype:web-application-attack; sid:1336; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "/bin/chmod" --algo bm -m comment --comment "msg: WEB-ATTACKS 
chmod command attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" 
-j LOG --log-ip-options --log-tcp-options --log-prefix "[2] SID1336 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string 
"/bin/chmod" --algo bm -m comment --comment "msg: WEB-ATTACKS chmod command 
attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j LOG 
--log-ip-options --log-tcp-options --log-prefix "[2] SID1336 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
chown command attempt"; flow:to_server,established; content:"/chown"; nocase; 
classtype:web-application-attack; sid:1338; rev:6;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "/chown" --algo bm -m comment --comment "msg: WEB-ATTACKS 
chown command attempt; classtype: web-application-attack; rev:6; FWS:0.9.0;" 
-j LOG --log-ip-options --log-tcp-options –log-prefix "[3] SID1338 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string "/chown" 
--algo bm -m comment --comment "msg: WEB-ATTACKS chown command attempt; 
classtype: web-application-attack; rev: 6; FWS:0.9.0;" -j LOG --log-ip-options 
--log-tcp-options --log-prefix "[3] SID1338 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
chsh command attempt"; flow:to_server,established; content:"/usr/bin/chsh"; 
nocase; classtype:web-application-attack; sid:1339; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "/usr/bin/chsh" --algo bm -m comment --comment "msg: WEB-ATTACKS 
chsh command attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" -
j LOG --log-ip-options --log-tcp-options --log-prefix "[4] SID1339 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string 
"/usr/bin/chsh" --algo bm -m comment --comment "msg: WEB-ATTACKS chsh command 
attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j LOG 
--log-ip-options --log-tcp-options --log-prefix "[4] SID1339 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
/usr/bin/gcc command attempt"; flow:to_server,established; 
content:"/usr/bin/gcc"; nocase; classtype:web-application-attack; si
d:1341; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "/usr/bin/gcc" --algo bm -m comment --comment "msg: WEB-ATTACKS 
/usr/bin/gcc command attempt; classtype: web-application-attack; rev: 5; 
FWS:0.9.0;" -j LOG --log-ip-options --log-tcp-options --log-prefix "[5] 
SID1341 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string 
"/usr/bin/gcc" --algo bm -m comment --comment "msg: WEB-ATTACKS /usr/bin/gcc 
command attempt; classtype: web-application-attack; rev:5; FWS:0.9.0;" -j LOG 
--log-ip-options --log-tcp-options --log-prefix "[5] SID1341 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
gcc command attempt"; flow:to_server,established; content:"gcc%20-o"; nocase; 
classtype:web-application-attack; sid:1342; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "gcc%20-o" --algo bm -m comment --comment "msg: WEB-ATTACKS 
gcc command attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j 
LOG --log-ip-options --log-tcp-options --log-prefix "[6] SID1342 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string "gcc%20-o" 
--algo bm -m comment --comment "msg: WEB-ATTACKS gcc command attempt; 
classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j LOG --log-ip-options 
--log-tcp-options --log-prefix "[6] SID1342 ESTAB "
### alert tcp $EXTERNAL_NET any -> $HTTP_SERVERS $HTTP_PORTS (msg:"WEB-ATTACKS 
netcat command attempt"; flow:to_server,established; content:"nc%20"; nocase; 
classtype:web-application-attack; sid:1360; rev:5;)
$IPTABLES -A FWSNORT_FORWARD_ESTAB -d 192.168.10.0/24 -p tcp --dport 80 -m 
string --string "nc%20" --algo bm -m comment --comment "msg: WEB-ATTACKS 
netcat command attempt; classtype: web-application-attack; rev: 5; FWS:0.9.0;" 
-j LOG --log-ip-options --log-tcp-options --log-prefix "[7] SID1360 ESTAB "
$IPTABLES -A FWSNORT_INPUT_ESTAB -p tcp --dport 80 -m string --string "nc%20" 
--algo bm -m comment --comment "msg: WEB-ATTACKS netcat command attempt; 
classtype: web-application-attack; rev: 5; FWS:0.9.0;" -j LOG --log-ip-options 
--log-tcp-options --log-prefix "[7] SID1360 ESTAB "
$ECHO "    Rules added: 14"
###
############ Jump traffic to the fwsnort chains. ############
###
$IPTABLES -D FORWARD -i ! lo -j FWSNORT_FORWARD 2> /dev/null
$IPTABLES -I FORWARD 1 -i ! lo -j FWSNORT_FORWARD
$IPTABLES -D INPUT -i ! lo -j FWSNORT_INPUT 2> /dev/null
$IPTABLES -I INPUT 1 -i ! lo -j FWSNORT_INPUT
$IPTABLES -D OUTPUT -o ! lo -j FWSNORT_OUTPUT 2> /dev/null
$IPTABLES -I OUTPUT 1 -o ! lo -j FWSNORT_OUTPUT
### EOF ###

该脚本的主要功能如下：
- 创建自定义的 iptables 链，将所有匹配签名的规则添加到这些链中，以保持 fwsnort 规则与系统中现有 iptables 策略的规则之间的分离。
- 使用 Netfilter 连接跟踪系统，将属于已建立连接的 TCP 数据包通过 fwsnort 链进行处理，从而将昂贵的应用层字符串匹配操作限制在真实的 TCP 连接数据包上。
- 指示 iptables 在应用层数据中搜索七个 Snort 签名所描述的字符串。如果任何 iptables 规则在 Web 会话中触发，则会生成一个 iptables 系统日志消息，供 psad 进行分析。
- 删除并重新添加规则，将网络流量从内置的 INPUT、OUTPUT 和 FORWARD 链跳转到自定义的 fwsnort 链中。

3.3 激活 fwsnort 策略

要在 Linux 内核中激活 fwsnort 策略，只需执行 fwsnort 脚本：

[iptablesfw]# /etc/fwsnort/fwsnort.sh
[+] Adding web-attacks rules.
    Rules added: 14

3.4 测试 fwsnort 策略

为了验证 fwsnort 策略是否正常工作，可以从外部系统向内部 Web 服务器发送一个包含 /usr/bin/gcc 字符串的伪造 Web 请求：

[ext_scanner]$ wget http://71.157.X.X/cgi/test.cgi?cmd=/usr/bin/
gcc%20%2dWall%20test%2e

执行上述命令后，会得到如下输出：

--19:44:58--  http://71.157.X.X/cgi/test.cgi?cmd=/usr/bin/
gcc%20%2dWall%20test%2e
           => 'test.cgi?cmd=%2Fusr%2Fbin%2Fgcc -Wall test.'
Connecting to 71.157.X.X:80... connected.
HTTP request sent, awaiting response... 404 Not Found
19:44:58 ERROR 404: Not Found.

发送 Web 请求后，会在 iptables 系统的系统日志中看到以下日志消息：

Mar 18 19:45:03 iptablesfw kernel: [5] SID1341 ESTAB IN=eth0 OUT=eth1 
SRC=144.202.X.X DST=192.168.10.3 LEN=198 TOS=0x00 PREC=0x00 TTL=63 ID=60529 
DF PROTO=TCP SPT=42180 DPT=80 WINDOW=92 RES=0x00 ACK PSH URGP=0

4. 总结

通过本文的介绍，我们了解了如何使用 snortspoof.pl 脚本进行攻击模拟，以及如何创建和激活 fwsnort 脚本以配置 iptables 规则。这些技术可以帮助我们更好地测试系统的安全性，并及时发现和应对潜在的网络攻击。

以下是一个简单的 mermaid 流程图，展示了 fwsnort 脚本的执行流程：

graph TD;
    A[开始] --> B[创建自定义链];
    B --> C[处理已建立的 TCP 连接];
    C --> D[搜索应用层数据];
    D --> E[生成日志消息];
    E --> F[跳转网络流量];
    F --> G[激活策略];
    G --> H[测试策略];
    H --> I[结束];

同时，为了更清晰地展示攻击模拟和规则配置的步骤，我们可以使用表格进行总结：
| 步骤 | 操作 | 命令示例 |
| ---- | ---- | ---- |
| 1 | 攻击模拟 | [spoofer]# tcpdump -i eth1 -l -nn -s 0 -X -c 1 port 635 |
| 2 | 创建 fwsnort 脚本 | [iptablesfw]# fwsnort --snort-sid 1332,1336,1338,1339,1341,1342,1360 |
| 3 | 激活 fwsnort 策略 | [iptablesfw]# /etc/fwsnort/fwsnort.sh |
| 4 | 测试 fwsnort 策略 | [ext_scanner]$ wget http://71.157.X.X/cgi/test.cgi?cmd=/usr/bin/gcc%20%2dWall%20test%2e |

通过以上的操作和配置，我们可以有效地提高系统的安全性，及时发现和应对各种网络攻击。

5. 网络攻击相关概念及工具

5.1 常见网络攻击类型

网络攻击类型多样，不同类型攻击有不同特点和危害，以下是一些常见攻击类型：
| 攻击类型 | 特点 | 危害 |
| ---- | ---- | ---- |
| DDoS 攻击 | 利用大量僵尸主机向目标发送海量请求，耗尽目标资源 | 导致目标服务瘫痪，无法正常提供服务 |
| SQL 注入攻击 | 通过在输入字段中注入恶意 SQL 语句，获取或篡改数据库信息 | 泄露敏感数据，破坏数据库完整性 |
| 端口扫描 | 尝试连接目标主机的不同端口，查找开放端口和可能的漏洞 | 为后续攻击提供信息，增加系统被攻击风险 |
| 缓冲区溢出攻击 | 向程序缓冲区写入超出其容量的数据，覆盖相邻内存区域 | 可能导致程序崩溃、执行恶意代码，控制目标系统 |

5.2 相关工具介绍

在网络安全领域，有许多工具可用于攻击模拟、检测和防御，以下是一些常见工具：
- Nmap ：强大的端口扫描工具，可用于发现目标主机开放的端口、操作系统类型和服务版本等信息。例如，使用 nmap -sS target_ip 可进行 TCP SYN 扫描。
- Wireshark ：网络协议分析器，可捕获和分析网络数据包，帮助用户了解网络通信内容和发现潜在的安全问题。
- Snort ：开源的入侵检测系统，通过规则集检测网络中的恶意流量。可配置规则对特定攻击进行警报或拦截。
- fwsnort ：将 Snort 规则转换为 iptables 规则的工具，增强防火墙的防护能力，结合 Snort 规则实现更精细的流量过滤。

6. 入侵检测与响应系统

6.1 入侵检测系统（IDS）

入侵检测系统是网络安全的重要组成部分，可分为基于签名和基于异常的检测系统：
- 基于签名的 IDS ：通过预先定义的签名匹配网络流量，检测已知的攻击模式。优点是检测准确率高，能快速识别已知攻击；缺点是对未知攻击无能为力。
- 基于异常的 IDS ：建立正常网络行为的基线模型，当检测到偏离基线的行为时发出警报。优点是能发现未知攻击；缺点是误报率较高，需要不断调整基线模型。

6.2 入侵响应系统

当入侵检测系统检测到攻击时，入侵响应系统可采取相应措施进行应对：
- 自动阻断 ：根据预设规则自动阻断攻击源的网络连接，防止攻击进一步扩大。例如，psad 可根据检测到的攻击自动添加 iptables 规则，阻断攻击 IP 地址。
- 发送警报 ：通过邮件、短信等方式向管理员发送警报信息，及时通知管理员处理。
- 主动反击 ：在某些情况下，可对攻击源进行反击，如发送虚假信息干扰攻击者。

以下是一个简单的 mermaid 流程图，展示入侵检测与响应系统的工作流程：

graph TD;
    A[网络流量] --> B[入侵检测系统];
    B --> C{是否检测到攻击};
    C -- 是 --> D[入侵响应系统];
    D --> E[自动阻断];
    D --> F[发送警报];
    D --> G[主动反击];
    C -- 否 --> H[继续监测];

7. 网络安全策略配置

7.1 iptables 规则配置

iptables 是 Linux 系统中常用的防火墙工具，可通过配置规则对网络流量进行过滤。以下是一些常见的 iptables 规则配置示例：
- 允许本地回环接口流量 ：

iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

允许已建立和相关的连接 ：

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT

允许特定端口的入站流量 ：

iptables -A INPUT -p tcp --dport 80 -j ACCEPT

拒绝所有其他入站流量 ：

iptables -A INPUT -j DROP

7.2 配置文件管理

在实际应用中，可将 iptables 规则保存到配置文件中，方便管理和维护。例如，将规则保存到 /etc/iptables.rules 文件中：

iptables-save > /etc/iptables.rules

在系统启动时，可通过以下命令恢复规则：

iptables-restore < /etc/iptables.rules

8. 总结与展望

网络安全是一个复杂且不断发展的领域，攻击技术不断更新，防御手段也需不断完善。通过本文介绍的攻击模拟、规则配置、入侵检测与响应等技术，可有效提高系统的安全性。然而，网络安全是一个系统性工程，需要综合运用多种技术和策略，不断进行监测和优化。

未来，随着人工智能、物联网等技术的发展，网络安全面临着新的挑战和机遇。我们需要不断学习和研究新的安全技术，加强网络安全意识，共同构建安全可靠的网络环境。

同时，建议网络安全从业者定期进行安全演练和漏洞扫描，及时发现和修复潜在的安全问题。在面对复杂多变的网络攻击时，保持警惕，灵活运用各种安全工具和策略，确保系统的稳定运行。

以下是一个简单的列表，总结了提高网络安全的建议：
1. 定期更新系统和软件，修复已知漏洞。
2. 配置强密码，避免使用简单易猜的密码。
3. 安装防火墙和入侵检测系统，实时监测网络流量。
4. 对员工进行网络安全培训，提高安全意识。
5. 定期备份重要数据，防止数据丢失。
6. 遵循最小权限原则，限制用户和程序的访问权限。

通过以上措施的实施，可有效降低网络攻击的风险，保障网络系统的安全。