《大秦帝国》--一部脑残的魔幻传记

这个魔幻传记的作者是崇尚黑暗的魔族云游诗人孙皓辉，此人法力高深，是一个时空云游诗人。据说，他为了完成这篇故事花费了几十年的时间，收集已经非常残缺不全的魔族资料，确实非常地辛苦。史称，魔族对外发动战争的军队是一个叫做秦的前人类种族组成的。秦族被魔族的第一代白袍巫师--商鞅，您没有看错，不是萨鲁曼，而是商鞅，改造成了魔族最强大的战士--强兽人，对人类发动百余年的战争，最终彻底征服了人类等其他种族。不过，魔族在彻底征服其它种族之后，魔族自己竟然莫名其妙地崩溃了。最令人震惊地是，魔族的皇族赢氏也神奇地消失了，而魔族的巫师们重新进入地下，伺机而动。来自中土东部的人族重新统治了中土。因此，此后的历史记载多对秦族以及其建立的帝国持否定态度。这无疑增加了魔族时空云游诗人孙皓辉编写故事的难度，因为他不愿意相信人类记载中有关魔族的描述。不过，幸好魔族时空云游诗人孙皓辉有时空穿越的法力，每当他看到不喜欢的史料，他通常就会进行思想地穿越，回到历史寻找他喜欢的历史材料。

其实很多人类记载的作者或多或少地也具有魔族血统，例如，编写《史记》的作者太史公司马迁其实是魔族后裔，其祖上是魔族将军。不过他的记载备受纯正的魔族云游诗人孙皓辉指责，他认为司马迁背叛了魔族，在《史记》中持有一些同情人类的思想，对于魔族缺少赞美。这其实也怨不得司马迁，因为他自己在写书的时候，遭到了魔族“至尊魔戒”继承人刘彻（按照魔族对首领的称呼，他应该被称为汉武帝）的迫害，用现在流行的话说--“被宫刑了”。据说，刘彻是正宗的人族，不过从他的做派来看，我们有理由相信，他绝对具有魔族血统。

上小学地时候，老师就谆谆教导我们，写作文的时候一定得注意时间、人物、事件这三要素，伟大的魔族时空云游诗人孙皓辉的水平当然要比我们的小学老师强得多。在看这个魔幻传记之前，我们需要先看一下故事的发生的各种背景，也就是交代一下故事的时间、人物、事件。

这个故事发生的时间被人类叫做战国时代。人类的圣人孔子生活在战国的前一个时代--春秋，他认为春秋是一个礼崩乐坏的时代。而到了战国时期，估计礼已经崩得差不多了，乐也基本从交响乐变成了重金属摇滚。我们自己在听摇滚的时候，经常会不由自主地随着节奏活动，有时候甚至会出现狂躁情绪。以此推论，战国时代摇滚乐的普及，造成了中土各国君主以及整个人类显得躁动不安，整个社会越来越不和谐，战争越来越多，规模越来越大。据八卦人士统计，这段时期中土战争的规模在世界上居于先进水平，远远领先于其它世界，据说领先两千多年，好事者可以考证一下。而号称现代文明发祥地的西土，直到两千多年之后的第一次世界大战，才出现了规模超过中土战国时期的战役。这样的历史背景，无疑为魔族的出现提供了基础。这段历史也被魔族时空云游诗人孙皓辉赞美为“大争之世”。

在这个历史背景下，中土人类君主不但要维护自己的统治，还经常不得不终止别的君主的统治，压力真的很大。因此早在春秋时代，人类的各个君主就已经开始请各种各样的巫师铸造自己的魔戒，不过，这些魔戒并非戴在手上，而是要戴在被统治的人类头上，被称为“法”。在人类后来的一篇神话（不是魔幻）小说《西游记》中，把“法”这种东西形象地称为紧箍咒，掌握紧箍咒的人完全可以根据自己的喜好，灵活掌握被控制的人能做什么，不能做什么。这对于各国君主来说，无疑非常具有吸引力。而全天下君主热火朝天、大干快上地铸造魔戒的行为，被后世称为“变法”运动。

铸造魔戒的行为到了战国中期达到了高潮。而铸造魔戒的巫师中，有人族的，也有魔族的，他们被后世人称为“先秦诸子”。据说“先秦诸子”有百家之多，这些“子”在铸造魔戒时，经常会进行技术和思想的交流。“子”们都喜欢使用老子留下的技术模型---“道”来阐述技术问题，但是由于老子留下的技术模型过于高深，几乎可与爱因斯坦的相对论，流体力学的纳维—斯托克斯方程相提并论。而由于学历、出身和智商所限，比如，姓墨的那位“子”工人出身，所以绝大部分“子”根本无法掌握老子的模型。大部分“子”们基本都是通过道听途说了解的“道”，根本没有受过老子的系统教育，连聪明的孔子只跟老子学习过几天而已，而其他人基本根本就没有见过老子。而且，老子自己也不是一个善于表达的人，辛辛苦苦写了一本《道德经》作为教材，写得云山雾罩，反而把人弄得更糊涂了。因此，“子”们对于技术的理解出现很多偏差，互相也根本无法说服对方，最后技术交流演变成互相对骂，骂战的胜负也只能以声音的大小决定的，因此史称“百家争鸣”。

另外，这些“子”们有一个显著的特点，就是喜欢替别人想事，准确点说，是为圣人或者人主策划一些事情，很少有人考虑自己，经常会为了自认为的一个崇高目标而赴汤蹈火，据说这叫士人精神，魔族第一代白袍巫师商鞅是一个很好的例子。当然，也有一些“子”不愿意搀和这些事情，最著名的就是杨朱、庄子这两位“子”，从师承上论，这两位其实才真正是“诸子”鼻祖--老子的正宗传人，但是这两位只替自己考虑事情，看看他们的学说知道了。庄子喜欢灵魂脱壳，骑着大鸟去做逍遥游。而杨朱更过分，只留下一句话：“拔一毛而利天下不为也”，想让他写本书，他认为这是利天下的行为，所以他不干。这两位被其它“子”，甚至整个中土人类视为异类。”诸子“对这二位的歧视，对中土人类带来非常不好的影响，至今东土人类都喜欢替别人打算事情，比如，帮别人盘算一下钱应该怎么花，还有即使到了现在，还有很多明明处于社会最底层的人类，总是喜欢替最高统治者考虑事情，对统治者的所作所为总能报以理解的态度。另外，中土人类还比较喜欢窥探别人隐私，他们总是对同类的收入比较感兴趣，而这种行为经常会被统治者所利用，据小道消息说，有位老太太几年如一日地对某位亲西土的人士进行盯梢。

最后，有几家铸成了自己的魔戒，在铸就的魔戒中，比较著名的有仁义魔戒，铸造者是人类儒家圣人孔子和孟子；黄老魔戒，铸造者是道家第一大门派黄老宗；而威力最为强大的是魔族第一代白袍巫师商鞅铸造的至尊魔戒。

人类的另外一位早于孔子的圣人--老子，早在春秋时代就睿智地预见了这个过程存在的风险，在他传世的伟大经典--《道德经》中，他非常忧虑地谈到：“法物滋起，盗贼多有”。而从老子的行为来看，老子非常想化解这个风险，也做出了一定的努力，比如，编写《道德经》希望君主们停止铸造魔戒的行为，施行无为的政策。另外，老子并非像大家所认为地那样，超然物外，以一双冷眼看世界。其实，他应该是非常热心地一个人，以至于为了提前化解魔族带来的危机，他甚至亲自西出函谷关，来到秦族，希望能够教化秦族，使他们不受魔族蛊惑。但是，从后面的历史看，老子的努力彻底失败了，历史也按照老子所预见地方式堕落下去----“失道，失德，失仁，失义，失礼”，最终至尊魔戒（法）统治了中土世界。

而魔族时空云游诗人孙皓辉为了掩盖老子的努力，伪造了一位老子，将后来的一位与曾经与老子从事同样职业的人---太史儋当作老子。魔族云游诗人孙皓辉还曲解和编造了两段预言，其中一段与太史儋有关，据记载是这样的：”秦周同源，均起西陲；秦为诸侯，而秦周分离；离五百年，而大合于秦；合十七年，则霸王出。“。另外一段是舜帝赐给魔族皇族嬴氏祖先皂游时的预言：“嬴氏一族必将大出于天下。”。不过，从历史的演进来看，很明显魔族把预言理解错了，这两段语言明明是说魔族皇族会被斩尽杀绝，没有文化真是害人不浅。第一句，印证了人类的复仇使者项羽的出现。而第二句很明显是出现了一个错别字，“出”应该改为“除”，就是嬴氏一族必将大”除“于天下，这样就好理解了。可见人类的圣贤还是非常有预见能力的。

据魔族时空云游诗人孙皓辉所说，魔族其实也有一位大巫师--鬼谷子。在故事中，伟大的魔族大巫师鬼谷子没有出场，一直在幕后活动，按部就班、有条不紊将秦族改造成强兽人，在一代代魔族巫师和魔族皇族的带领下，向人类发动战争，最终彻底征服了人类。鬼谷子的计划是通过一帮徒弟实现的，他们分别是：第一代灰袍巫师--庞涓和孙膑，职业：将军，他们的目的是搅乱天下，这两人为了魔族的崇高理想，不惜自相残杀，兄弟相残，真是人敬佩。第二代白袍巫师--商鞅，职业：炼金师，目的是为魔族铸造至尊魔戒，在完成目标之后，商鞅以身相殉，施展天魔解体大法，加强了至尊魔戒的法力，使魔族至尊魔戒威力大大超出了东方人类种族的魔戒。与其它魔戒相比，商鞅炼制的魔戒具备极权和军国两大必杀技。另外，据魔族时空云游诗人孙皓辉所说，魔族第一代白袍巫师商鞅在炼制至尊魔戒时，得到过姓墨的那位“子”的门人相助，因此必杀技之外，还有一个尚同的辅助加成技能。

而在东方人族炼制的魔戒，比如：人族道家炼制的黄老魔戒，儒家圣人孔子和孟子炼制的仁义魔戒，从威力上差了很多。与魔族的至尊魔戒相比，仁义魔戒根本就没有任何杀伤力，因此，几乎没有任何人族君主接受仁义魔戒，而黄老魔戒崇尚柔弱和无为，也渐渐被人族君主所抛弃，这样东方人族的悲剧最终无可避免。

鬼谷子的第三代弟子叫做张仪和苏秦，他们的目标是从政治层面搅乱人类各国。不过，两人结局不同，张仪凭借一张三寸不烂之舌和两行伶俐之齿以及鬼故门生的圆滑，成功回山交差。而苏秦生活作风出现问题，与人类燕族国王的女人有染，遭人刺杀。总之，魔族大巫师鬼谷子成功地将历史进程纳入自己的轨道，剩下工作的就由魔族皇族和强兽人完成。为了加快这个进程，魔族大巫师通过其它途径培养了一位强兽人将军，这位强兽人将军不负鬼望，通过几次战争打破了魔族与人族的平衡。据记载，这位叫做白起的强兽人将军，一生屠杀人类的记录是一百六十万以上。魔族时空云游诗人孙皓辉特意为这位伟大的强兽人将军白起立传，叫做《金戈铁马》。最终收官工作是魔族皇族的赢政完成的，这位伟大的魔族君主为后世的人族和非人族君主起了一个很好的名字---皇帝。另外，据传说，被魔族时空云游诗人孙皓辉鄙视的太史公司马迁的祖先是强兽人将军白起的部下。

魔族时空云游诗人孙皓辉为了避免打打杀杀地让人腻味，在这套魔幻传记中加入了第一代魔族白袍巫师商鞅与人类圣女白雪之间的一段凄美的爱情故事。不过，魔族时空云游诗人孙皓辉在爱情方面的描写明显比不上西土的作家莎士比亚。据称，很多人会选择在吃饭时看他写的感情戏，这样会有一种呕吐的感觉，降低食欲，最终达到减肥的目的。

最后需要说明的是，魔族时空云游诗人孙皓辉取得了巨大的成功。他的书在很多人中引起巨大的反向，这些人主要是对一部分对现实不满的人，幻想恢复至尊魔戒的统治。当然，并非所有对现实不满的人希望至尊魔戒重现。很多人更愿意接受从西土传入的普世魔戒。对于普世魔戒的功能，不在本文的讨论范围。为了扩大这个魔幻故事的影响力，魔族时空云游诗人孙皓辉将故事的第一季编写成了电视剧，以便让更多脑仁和松子一样大，打开脑袋盖里面就一碗卤煮的人接受他的思想。但是，电视剧的命运很凄惨，拍完之后被当代真理部封杀。不过，在现实题材电视剧《蜗居》出现之后，真理部意识到，还是魔幻题材的更好控制。因此为了对抗现实主义的《蜗居》，当代真理部放开了对这个魔幻电视剧的管制，由这个魔幻故事的故乡电视台播放。

flare编译问题

flare是一种创建数据可视化flash程序的actionscript库，采用apache-ant作为编译程序，具体操作见官方教程:http://flare.prefuse.org/tutorial。但是，由于flex-sdk的target-player参数设置问题，会造成在编译过程中提示以下错误：
Error: 找不到类型，或者它不是编译时常数: Vector。
或者
Type was not found or was not a compile-time constant: Vector.

这是因为编译时，默认支持的Flash Player的版本是9.0.124。遇到这种错误时，需要修改flex-sdk/frameworks/flex-config.xml，将<target-player>9.0.124</target-player>改为<target-player>10.0.12</target-player>。如果使用flexbuilder，可以通过Project > Properties > Flex Compiler 设置附加编译器参数-target-player=10.0.12。

picviz

Picviz是一个平行坐标绘图程序。通过简单的脚本，picviz可以轻松将各种输入数据（tcpdump、syslog、iptables logs、apache logs,等等）形象化，用户可以从中发掘有意思的东西。另外，Picviz还可以帮助用户创建、理解平行坐标图。

Picviz的目标是通过将数据图形化的方式，帮助用户快速分析问题，发现各种因素的关联关系。在安全分析领域，这个程序具备非常好的扩展能力，能够处理百万级的数据。

Picviz使用专用的语言来描述图形，类似于graphviz的图形描述语言。通过一个引擎，能够生成平行坐标图像。另外，Picviz还提供了python语言绑定，用来收集计算过的数据、原始数据，并使用python和qt4实现了一个前端程序。

Bro支持的数据类型

Bro ids的策略层分析和检测组件是由一种脚本语言实现的，这种脚本语言主要面向网络连接和流量的处理，支持特定的类型。Bro数据类型系统支持18种数据类型：

• bool：二进制数据;
• count、int，和doublet：统称数字，可以进行数学、逻辑，和对比操作；
• enum：类似于C语言的枚举；
• string,、character：字符串和字符，可以进行对比和查询操作；
• pattern：定义用于模式匹配的正则表达式；
• time、interval：表示绝对时间和时间间隔；
• port：传输层的端口号；
• addr：IP地址；
• net：网络前缀；
• record：一组数据的集合（可能是不同类型）,每个数据都有自己的名字；
• table：联合数组；
• set： 标量元组的集合;
• file：一个被写入的硬盘文件；
• function：能够通过一组参数调用，并且有返回值；
• event：事件处理器，事件产生后，通过一组参数进行调用。

bro脚本中的每个变量都必须是上述类型之一。对于大多数类型，有很多方式将变量指定为常量。例如，2.71828是一个双精度类型的常量，80/tcp是一个port类型的常量。

最后，Bro的变量是静态类型，意味着他们的类型是固定的，但即使这样，也可以通过重新指定变量的方式，对其类型进行转换。例如，通过以下操作，整数a能够直接被转换为双精度数字：

   local a = 5;
  local b = a * .2;

bro的事件

什么是事件

在Bro中，事件(event)用于反应特定网络行为。而事件处理引擎是Bro的核心。事件可以针对底层的网络协议，也可以针对应用层协议。

事件处理器

事件处理器从语法上非常接近于函数，两者的不同是事件处理器没有返回值，也不能被调用。事件处理器可以采用如下方式声明：

event ( argument*  )

例如：

local eh: event(attack_source: addr, severity: count)

声明了局部变量eh，eh是一个事件处理器类型，有两个参数：attack_source是地址(addr)类型；severity是计数(count)类型。

如果想声明一个有处理代码的事件处理器，语法是：

event handler  ( argument  )  { statement @code{}}

另外，可以把事件处理器赋值给一个相同类型的变量。

事件产生的方式

事件的产生有以下三种方式：

• 事件引擎产生

当事件引擎检测到一个定义了事件处理器的事件时，会将其放入队列中，等待事件处理器处理。一旦事件引擎处理完当前数据包，会立即调用事件处理器。

• 通过事件语句产生

例如，在策略脚本中使用：

event password_exposed(c, user, password);

事件引擎就会以参数c、user、password调用事件处理器password_exposed。注意：必须已经在调用之前，对password_exposed进行声明，而且参数也必须兼容。

• 通过调度表达式

调度表达式在将来的某个时刻启动事件表达式。例如：

schedule 5 secs { password_exposed(c, user, password) };

表示password_exposed将在5秒之后启动。

事件处理机制

强大的事件模型是bro的核心，通过bro的通讯框架，可以实现事件处理的分布操作，这也是bro入侵检测系统能够分布式部署的基础之一。

将事件检测机制与事件处理机制分离是bro的核心思想之一。事件由bro核心的分析器产生。分析器持续地进行分析操作，一旦看到相关的行为就以异步的方式 出发事件，例如，新建了一个TCP连接，或者看到了HTTP请求的URL。Bro核心的分析器能够进行广泛的协议分析，例如：TCP、UDP、FTP、 HTTP、ICMP、SMTP、RPM等。不过，为了降低CPU资源的占用，需要注意：只启用分析所需的事件触发。

一旦某个事件触发，事件处理引擎将其投递到策略层。每个Bro阶段都有相关的策略来控制器策略层的行为。这些策略对应于站点的安全策略，由Bro脚 本语言写成。这种语言是一种强类型，函数风格的语言，为网络行为分析提供了大量的数据类型。在策略层还维护着大量状态信息变量，这些变量主要是描述相关的 网络行为。每种事件，都可以定义一种或多种事件处理器进行处理，事件处理器甚至还可以触发新的事件。事件类型由名称和一系列参数组成，可以唯一识别特定的 事件。

ossec的新功能－－预编译规则之三：对预处理规则的评价

对预处理规则的评价

插件化是很多开源软件采取的，非常流行的扩展方式，例如：

• apache：采用动态共享对象的方式，提供扩展；利用Apache扩展工具(apxs)，可以无需重新编译apache，即可加入apache插件；
• nessus：nessus自创了一种叫做nasl的脚本语言来实现差价的扩展，由于其功能的局限，这种语言较受争议；
• nmap：通过NSE(Nmap Script Engine，nmap脚本引擎)实现插件的扩展，使用目前非常流行的lua作为其寄生语言；
• snort：在snort3的代码中，也引入了lua作为扩展语言；
• bro-ids：采用了一种自定义的脚本语言，来扩展对网络流量的处理功能。

与上述开源产品相比，ossec的预处理规则显得非常粗糙，从技术上看，甚至有些画蛇添足，因为：

• ossec的xml规则编写的难度比c语言编写的预处理规则更容易掌握；
• 预处理规则只局限于检测规则，其提供的扩展能力，不见得比在xml规则中定义正则表达式更强大；
• ossec的预处理规则不具备动态编译部署的能力，加入新的预处理规则，必须重新编译ossec的源代码；
• 由于预处理规则c程序的引入，有可能会给ossec加入新的bug，反而造成ossec的不稳定；

而与上述问题相比，预处理规则只能满足对c语言的偏好，所以前景不会太乐观，除非效法nmap做改进。另外，预处理规则出现的真正原因或许是出于商业的考 虑，因为利用预处理规则，Third Brigade公司可以对某些检测功能封闭源代码，直接编译到其商业版中，不用担心技术的泄露。