除。譬如，状态检测防火墙解蒺出服务器端将打开60240端口，则自动增加规则IPl，A
y，TCP，IP2，60240，Permit，数据连接释放后，此规则也随即被删除。状态检测防火墙的控制效果之所以比简单包过滤防火墙要强，从系统结构上看，原因在于简单包过滤防火墙采用开环控制方式，而状态检测防火墙增加了从转发部分到策略与规则控制部分的反馈调节，构成了闭环控制。2入侵检测系统应用中的反馈控制入侵检测系统也是常用的网络安全设备，通过收集网络中的信息流以发现入侵的行为或意图。基于网络的入侵检测系统，其系统结构如图2a所示。接收部分的功能是捕捉网络中的数据包并提取必要的TCP／IP协议信息入侵检测部分通过误用检测分析或异常检测分析或同时使用两种方法来判断有无入侵的行为或意图；响应部分则根据用户的定义，对不同的入侵行为做出不同的响应，响应的措施包括系
f统发出提示，向用户发送短信或邮件、与防火墙联动控制等。仅采用入侵检测系统只能完成检测功能，无法进行控制，即入侵行为发生的时候，入侵检测系统虽然能够发现，却只能“眼睁睁”地看着入侵行为肆虐，因为入侵检测系统属于开环控制的结构。把入侵检测系统与防火墙联动起来，通过增加反馈调节构成一个多级的闭环控制系统后，入侵行为能被及时制止，如图2b所示，当入侵检测系统发现入侵的行为或意图后，将要求防火墙动态增加一条合适的规则，使属于入侵行为的信息流被拦截。3多级反馈的网络安全态势感知系统3．1反馈控制的重要作用控制论创始人维纳早年研究高射炮手协调行动时得出一个重要结论，就是自主运动的重要因素在于控制工程师的反馈作用。当我们期单按某个方式运动时，把期望的运动方式和实际完成的运动之间的差异当作新的输入来调节这个运动，使之更接近期望的运动。同理，在网络安全设备的应用中，为了进一步降低防火墙对信息流的控制粒度，使防火墙能更有效地监控信息流，状态检测技术使开环的简单包过滤防火墙有了反馈调节，从而增加了对动态打开端口协议的支持。为了使防火墙有检测入侵行为或意图的能力，通过增加入侵检测系统的反馈调节，使防火墙能够及时发现攻击并及时拦截。通过增加反馈控制，防火墙不断接近预期的目标或对安全的信息流予以放行，或对攻击的信息流予以拦截。对上述两个实例的分析，揭示了反馈控制在网络安全设备中的应用，可以看出，网络安全设备从简单到复杂、从低级到高级的不断进化中。反馈控制起了非常重要的作用。3．2多级反r