3.3.3　现场分析
本文讲的是网络空间欺骗：构筑欺骗防御的科学基石一3.3.3　现场分析,在识别出有意义的可执行文件之后，它们通过典型网络测试环境被重新运行。我们的实验平台布局如图3.8所示，每个系统都通过使用Oracle VM VirtualBox和GNS3进行虚拟化。客户端系统运行恶意或控制（良性）软件并进行本地策略，入侵检测系统（IDS）则收集网络度量结果。尽管入侵检测系统通过配置后可使用Snort，但在假设隐蔽的恶意软件至少可以避免通用安全产品的检测条件下，其度量数据可以被忽略。

在客户端系统上，Perfmon（Windows性能监视器）用于收集与可执行文件行为相关的数据。Perfmon提供了大量的可度量的数据，我们的列表是专门针对所感兴趣的恶意软件活动类型进行归纳的。表3.1显示了这些测量的列表。在Perfmon以及Microsoft开发库（MSDN）[27]中提供了对度量的完整描述。

入侵检测系统通过原始数据包捕获程序tcpdump收集网络数据。与Perfmon不同的是，它不需要解析收集的数据，要进行分析的是捕获的网络流量。

原文标题：网络空间欺骗：构筑欺骗防御的科学基石一3.3.3　现场分析