chap--入侵检测技术-v .docx-淘文阁

资源描述

《chap--入侵检测技术-v .docx》由会员分享，可在线阅读，更多相关《chap--入侵检测技术-v .docx（11页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、精品名师归纳总结封面可编辑资料 - - - 欢迎下载精品名师归纳总结作者： PanHongliang仅供个人学习本文由蔡泽恩贡献pdf文档可能在 WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。入侵检测技术罗森林信息安全与对抗技术试验室可编辑资料 - - - 欢迎下载精品名师归纳总结内容入侵检测技术的概念入侵检测系统的功能入侵检测技术的分类入侵检测技术的原理 ,结构和流程入侵检测技术的将来进展基于 SNORT的入侵检测系统基本概念入侵检测技术是为保证运算机系统的安全而设计与配置的一种能够准时发觉并报告系统中未授权或反常现象的技术, 是一种用于检测运算机网络中违反安全策略行

2、为的技术. 违反安全策略的行为有: 入侵非法用户的违规行为。滥用用户的违规行为.入侵检测Intrusion Detection就是对运算机网络和运算机系统的关键结点的信息进行收集分析, 检测其中是否有违反安全策略的大事发生或攻击迹象 , 并通知系统安全治理员.一般把用于入侵检测的软件 , 硬件合称为入侵检测系统.为什么会显现 IDS客观因素 : 入侵者总可以找到防火墙的弱点和漏洞防火墙一般不能阻挡来自内部的突击由于性能的限制 , 防火墙通常不能供应实时的监控防火墙对于病毒的网络内部传播也是无能为力的漏洞是普遍存在的主观因素入侵和攻击不断增多网络规模不断扩大网络用户不断增加黑客水平

3、不断提高IDS的进展史1980年 4 月,James Anderson为美国空军做了一份题为Computer Security Threat Monitoring and Surveillance 运算机安全威逼监控与监视的技术报告, 第一次提出了入侵检测 . 1986年 , 为检测用户对数据库反常拜望, 在 IBM 主机上用 Cobol开发的Discovery系统成为最早的基于主机的 IDS 雏形之一 .IDS的进展史1987年,Dorothy E.Dennying提出了反常入侵检测系统的抽象模型 , 首次将入侵检测的概念作为一种运算机系统安全防范问题的措施提出. 1988年, Morr

4、is Internet蠕虫大事使得 Internet约 5 天无法正常使用 , 该大事导致了许多IDS 系统的开发研制 . Teresa Lunt等人进一步改进了Dennying提出的入侵检测模型 , 并创建了IDESIntrusion Detection Expert System,它提出了与系统平台无关的实时检测思想.IDS的进展史1990年 , Heberlein等人提出基于网络的入侵检测 NSMNetwork Security Monitor,NSM可以通过在局域网上主动的监视网络信息流量来追踪可疑的行为. 1991年, 分布式入侵检测系统DIDS 的争论 , 将基于主机和基于网

5、络的检测方法集成到一起.DIDS 是分布式入侵检测系统历史上的一个里程碑式的产品, 它的检测模型接受了分层结构, 包括数据 , 大事 , 主体 ,上下文 , 威逼, 安全状态等 6 层.IDS的进展史1994年,Mark Crosbie和 Gene Spafford建议使用自治代理 Autonomous Agents以便提高 IDS的可伸缩性 ,可维护性 , 效率和容错性 .1995年 ,IDES后续版本 NIDESNext-Generation Intrusion Detection System实现了可以检测多个主机上的入侵. 1996年, GRIDSGra

6、ph-based Intrusion Detection System设计和实现解决了入侵检测系统伸缩性不足的问题 , 使得对大规模自动或协同攻击的检测更为便利. Forrest等人将免疫原理用到分布式入侵检测领域IDS的进展史1997年,Mark crosbie和 Gene Spafford将遗传算法运用到入侵检测中 . 1998年,Ross Anderson和 Abida Khattak将信息检索技术引进到了入侵检测系统 .中国的 IDS可编辑资料 - - - 欢迎下载精品名师归纳总结也得到了长足的进展 . 据 IDC 的报告 ,2000年中国安全市场中 ,IDS与评估软件占了19%的

7、份额 .IDC 在 2001 年 4 月的调查显示 , 用户接下来对网络安全产品的需求中, 对 IDS 的需求占到了 18.5%. 从厂商方面来说 , 从 1999 年前后 , 国外一些软件商开头将其IDS 引入到国内, 如安氏 ,CA,NAI, 赛门铁克等 . 国内如冠群金辰 , 金诺网安等也占据着该市场的较大份额.IDS的功能与作用防火墙明显的不足和弱点防火墙不能防范如TCP,IP等本身存在的协议漏洞无法解决安全后门问题。不能阻挡网络内部攻击 , 而调查发觉 ,80%以上的攻击都来自内部 , 对于企业内部心怀不满的员工来说, 防火墙形同虚设。不能供应实时入侵检测才能, 而

8、这一点 , 对于现在层出不穷的攻击技术来说是至关重要的。对于病毒等束手无策 .IDS的功能与作用识别黑客常用入侵与攻击手段. 入侵检测系统通过分析各种攻击特点 , 可以全面快速的识别探测攻击 , 拒绝服务攻击 ,缓冲区溢出攻击 , 电子邮件攻击 , 浏览器攻击等各种常用攻击手段 , 并做相应的防范和向治理员发出警告监控网络反常通信 .IDS系统会对网络中不正常的通信连接做出反应 , 保证网络通信的合法性。任何不符合网络安全策略的网络数据都会被 IDS 侦测到并警告 .IDS的功能与作用鉴别对系统漏洞及后门的利用 . 完善网络安全治理 .IDS 通过对攻击或入侵的检测及反应 , 可以有效的

9、发觉和防止大部分的网络入侵或攻击行为 , 给网络安全治理供应了一个集中 , 便利 , 有效的工具 . 使用 IDS 系统的监测 , 统计分析 , 报表功能 , 可以进一步完善网管 .IDS的功能与作用IDS只能位于其次安全防线 IDS仅仅是一种实时监控报警工具, 虽能够在检测到非法访问时自动报警 , 但其本身无法防范攻击行为的发生。不能将 IDS 与如防病毒或防火墙产品混淆在一起. IDS一般无法实现精确的攻击检测, 可能会显现误报现象 . 目前 IDS 面临的最主要的挑战之一是检测速度太慢 . 大多数 IDS系统在不牺牲检测速度的前提下, 会无法处理百兆位网络满负荷时的数据量 ,

10、而千兆位更是难以企及的目标.技术分类依据入侵检测的时序实时入侵检测 . 实时入侵检测在网络连接过程中进行, 系统依据用户的历史行为模型, 储备在运算机中的专家学问以及神经网络模型对用户当前的操作进行判定, 一旦发觉入侵迹象马上断开入侵者与主机的连接, 并收集证据和实施数据恢复, 这个检测过程是不断循环进行的 . 事后入侵检测 . 事后入侵检测需要由网络治理人员进行, 他们具有网络安全的专业学问 , 依据运算机系统对用户操作所做的历史审计记录判定用户是否具有入侵行为, 假如有就断开连接 , 并记录入侵证据和进行数据复原. 事后入侵检测由治理员定期或不定期进行.技术分类从入侵检测系统所使用

11、的技术的角度基于特点的检测. 特点检测假设入侵者活动可以用一种模式来表示 , 系统的目标是检测主体活动是否符合这些模式. 它可以将已有的入侵方法检查出来, 但对新的入侵方法无能为力. 其难点在于如何设计模式既能够表达入侵现象又不会将正常的活动包含进来. 基于反常的检测 . 反常检测假设入侵者活动反常于正常主体的活动 . 依据这一理念建立主体正常活动的模板 , 将当前主体的活动状况与模板相比较 , 当违反其统计规律时 , 认为该活动可能是入侵行为 . 反常检测的难题在于如何建立模板以及如何设计统运算法, 从而不可编辑资料 - - - 欢迎下载精品名师归纳总结把正常的操

12、作作为入侵或忽视真正的入侵行为 .技术分类从入侵检测的范畴来讲基于网络的入侵检测系统. 网络入侵检测系统能够检测那些来自网络的攻击, 它能够检测到超越授权的非法拜望, 而不需要转变其它设备的配置, 也不需要在其它主机中安装额外的软件 , 因此不会影响业务系统的性能. 弱点 :1网络入侵检测系统只检查它直接连接到网段的通信, 不能检测在不同网段的网络包, 存在监测范畴的局限 .而安装多台设备明显增加了成本 .2接受特点检测的方法可以检测出一般的一些攻击, 很难检测复杂的需要大量时间和分析的攻击 .3大数据流量网络入侵检测上存在确定的困难 .4加密通信检测上存在困难 , 而加密通

13、信将会越来越多.技术分类基于主机的入侵检测系统. 通常安装在被重点检测的主机上, 主要是对该主机的网络实时连接以及系统审计日志进行智能分析和判定 , 假如其中主体活动特别可疑, 入侵检测系统就会实行相应措施 . 弱点 :1安装在爱惜的设备上会降低系统的效率, 也会带来一些额外的安全问题 .2系统依靠于服务器固有的日志与监视才能 , 假如服务器没有配置日志功能 , 就必需重新配置, 这将会给运行中的系统带来不行预见的性能影响.3全面布署基于主机的入侵检测系统代价较大, 就未安装检测系统的设备将成为爱惜的盲点, 入侵者可利用这些机器达到攻击目标 .4对网络入侵行为无法检测.技术分类从使用的检测方

14、法基于特点的检测. 特点检测对已知的攻击或入侵的方式作出确定性的描述, 形成相应的大事模式 . 当被审计的大事与已知的入侵大事模式相匹配时, 即报警 . 原理上与专家系统相仿. 其检测方法上与计算机病毒的检测方式类似. 目前基于对包特点描述的模式匹配应用较为广泛 , 该方法预报检测的精确率较高 , 但对于无体会学问的入侵与攻击行为无能为力.技术分类从使用的检测方法基于统计的检测 . 统计模型常用反常检测,在统计模型中常用的测量参数包括: 审计大事的数量 , 间隔时间 , 资源消耗情形等 . 操作模型 , 运算参数的方差, 马尔柯夫过程模型, 时间序列分析 .技术分类从使用的检测方法

15、基于专家系统的检测. 专家系统的建立依靠于学问库的完备性 , 学问库的完备性又取决于审计记录的完备性与实时性 . 入侵的特点抽取与表达, 是基于专家系统的入侵检测的关键. 在系统实现中 , 就是将有关入侵的学问转化为if-then结构也可以是复合结构 , 条件部分为入侵特点 ,then部分是系统防范措施 . 运用专家系统防范有特点入侵行为的有效性完全取决于专家系统学问库的完备性.入侵检测技术的原理物理链路网络流量网络流量入侵检测数据入侵检测系统的结构传感器传感器传感器信息处理分析管理与控制数据库可编辑资料 - - - 欢迎下载精品名师归纳总结工作流程信息收集

16、 , 入侵检测的第一步是信息收集, 内容包括网络流量的内容, 用户连接活动的状态和行为 .数据分析 , 对上述收集到的信息 , 一般通过三种技术手段进行分析 : 模式匹配 , 统计分析和完整性分析 . 其中前两种方法用于实时的入侵检测 , 而完整性分析就用于事后分析 .结果处理 , 实时记录 , 报警或有限度反击.系统中 IDS 的位置系统中 IDS 的位置部署 1: 放在防火墙和外部网络之间优点 : 可充分检测到针对网络和系统的攻击缺点 : 无法检测防火墙内部用户之间的大事。简洁成为黑客入侵的对象。部署2 放在防火墙与路由器之间优点 : 可发觉防火墙配置是否合理。可检测内部大事

17、。部署 3 放于主要的网络中枢部署 4 部署于一些安全级别需求高的子网IDS面临的主要问题较高的误报和漏报率不断增大的网络流量基于模式匹配的工作方式无法防范未知的攻击基于网络的 IDS 基本上无法防止本的缓冲区溢出的攻击对 DoS的检测才能问题技术进展方向入侵技术的进展与演化大范畴的分布式入侵检测. 针对分布式网络攻击的检测方法, 使用分布式的方法来检测分布式的攻击 , 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息猎取智能化入侵检测 . 即使用智能化的方法与手段来进行入侵检测, 神经网络 , 遗传算法 , 模糊技术 , 免疫原理等方法可能用于入侵特点的辨识与泛化. 智能代理技

18、术可能广泛应用于入侵检测技术 . 系统层的安全保证体系. 将其它安全技术融入到入侵检测系统中 , 或者入侵检测系统与其它网络安全设备进行互动, 互相协作 , 构成较为全面的安全保证体系基于 snort的入侵检测系统Snort介绍Snort是一个开放源代码的基于libpcap的数据包嗅探器 , 并可以作为轻量级的网络入侵检测系统 .轻量级 : 对操作系统的依靠程度很低, 网络管理员能够轻易的将snort安装到网络中去 , 可以在很短的时间内完成配置, 可以很便利的集成到网络安全的整体方案中, 使其成为网络安全体系的有机组成部分 .Snort介绍Snort接受了基于规章的网络信息搜寻机

19、制, 对数据包进行内容的模式匹配 , 从中发觉入侵和探测行为 . 其检测机制特别简洁和灵敏, 用户能够依据自己的需要准时调整检测的策略 , 从而快速的对新的入侵行为做出反应 , 填补网络中潜在的安全漏洞. Snort集成了多种告警机制来供应实时告警功能, 可以输出到文件 , 数据库 , 通过 syslog机制输出到系统 , 通过 smb报文输出到 winpopup 进行局域网报警 , 仍可以输出到 Unix 域的 socket.Snort的工作模式snort有三种工作模式: 嗅探器 , 数据包记录器,网络入侵检测系统. 嗅探器模式仅仅是从网络上读取数据包并作为连续不断的流显示在终端上.

20、数据包记录器模式把数据包记录到硬盘上. 网络入侵检测模式是最复杂的, 而且是可配置的 . 可以让 snort分析网络数据流以匹配用户定义的一些规章 , 并依据检测结果实行确定的动作.Snort的工作模式嗅探器命令行格式 :snortv example:snort vde 显示详细信息 v,并且显示应用层信息d,显示链路层信息可编辑资料 - - - 欢迎下载精品名师归纳总结eSnort的工作模式数据包记录器命令行格式 :snort -l log目录 example:snort -l ./log snort -dev -l ./log -h 192.168.1.0/24 -h:指定监视网络Sn

21、ort的工作模式 NIDS1命令行格式 :snort -c snort配置文件 example:snort c ./etc/snort.conf snort -d -l ./log -c snort.conf不显示详细信息 , 只进行记录 , 并记录应用层信息 , 使用配置文件snort.conf Snort的工作模式 NIDS2NIDS模式下的输出选项在默认情形下 ,snort以 ASCII 格式记录日志 , 使用 full报警机制 . snort有 6 种报警机制 :full,fast,socket,syslog, smbwinpopup和 none. 可以通过 -A 指定告警模式 -A

22、 fast:报警信息包括 : 一个时间戳 timestamp,报警消息 ,源/ 目的 IP的址和端口 .-A full:是默认的报警模式。仍有应用层信息-A unsock:把报警发送到一个UNIX 套接字 ,需要有一个程序进行监听 , 这样可以实现实时报警. -A none:关闭报警机制 . 通过 -M WORKSTATION进S 行 SMB告警Snort目录结构Snort基本遵照linux的结构 ,其源程序包分为etc,doc, src,rules,contrib,templates等. contrib存放的是一些 rpms 文件, 用于在 linux中使用。 etc中

23、存放配置文件等, 主要用于系统配置和输出配置 .包括classification.config,gen-msg.map, reference.config,sidmsg.map,snort.conf doc中存放一些说明文件, 包括使用说明 , 安装说明等 . src中存放源文件, 仍包括windows 的工程文件 .dsw 。 rules中存放规章文件Snort规章Snort规章文件都放在rules目录下面 , 每类攻击都存放在一个文件中其归类方法仍在争论中例子 : rules/exploit.rulesalert tcp $EXTERNAL_NET any -

24、 $HOME_NET 4321 msg:EXPLOIT rwhoisd formatstringattempt。flow:to_server,established。content:-soa%p。reference:cve,CAN-2001-0838。 reference:bugtraq,3474。 classtype:misc-attack。sid:1323。 rev:4。SnortSnort规章规章由两个规律部分组成: 规章头和规章选项 . 规章头包含规章的动作, 协议 , 源和目标ip的址与网络掩码, 以及源和目标端口信息。规章选项部分包含报警消息内容和要检查的包的详细部分 .Sno

25、rt结构分析snort从功能上分为三个子系统: 数据包解读器, 检测引擎和日志/ 报警子系统 . 数据包解读器负责从网络传输介质上猎取数据包。检测引擎负责对数据包进行规章匹配以发觉那些和规章库相配的攻击 , 然后传递给日志/ 报警子系统。日志 / 报警子系统负责产生报警和日志信息, 可以以各种指定的格式进行登记.可编辑资料 - - - 欢迎下载精品名师归纳总结Snort结构分析预处理插件处理插件输出插件规章处理模块使用 / 调用日志模块解码模块帮忙模块主控模块snort总体模块图Snort结构分析模块分析 1主控模块 : 实现全部模块的初始化, 命令行解释, 配置文件说明 ,lib

26、pcap的初始化 , 然后调用 libpcap开头捕获数据包 , 并进行编码检测入侵. 此外 , 对全部插件的治理功能也属于主控模块的范畴 .解码模块 : 把网络中的抓取的数据包, 沿着协议栈自上而下进行解码并填充相应的内部数据结构 , 以便规章处理模块进行处理.Snort结构分析模块分析 2规章处理模块 : 实现了对这些报文进行基于规章的模式匹配工作 , 检测出攻击行为。在初始化阶段 , 它仍负责完成规章文件的说明和规章语法树的构建工作.规章处理模块在执行检测工作过程中共使用了三种类型的插件 , 分别为预处理插件模块, 处理插件模块和输出插件模块 . 主控模块中的插件治理功能plu

27、gbase实现的是对全部插件的治理, 包括其初始化 , 启动 ,停止等等 .预处理插件 : 在模式匹配前进行, 对报文进行分片重组, 流重组和反常检查等预处理 .Snort结构分析模块分析 3处理插件 : 检查数据包的各个方面 , 包括数据包的大小 , 协议类型 , IP/ICMP/TCP 的选项等 , 帮忙规章匹配完成检测功能 . 输出插件 : 实现检测到攻击后执行各种输出的反应. 日志模块 : 实现各种报文日志功能 , 也就是把各种类型的报文记录到各种类型的日志中 .Snort 结构分析模块分析 4帮忙模块 : 树结构定义子模块定义了几种 snort使用到的二叉树结构和相关的处理函数

28、,tag处理子模块完成了和tag相关的功能 , 其它一些子模块也供应了一些供公用的函数, 如安全性较高的字符串处理函数 , 校验以及 Unicode 解码等等 .Snort主要数据结构 1主要数据结构 : PV: 储备全局的把握变量 , 如是否检验校验和 , 告警模式等 , 其主要来源是命令行 , 配置文件。规章链表 : 规章链表的主要结构有 RuleListNode,ListHead,RTN,OTN, 都定义于rules.h 中.Snort主要数据结构 3在检测中使用的结构 : PORT_RULE_MAP,PORT_GROUP, RULE_NODE,OT等NX如下页图包结构 pac

29、ket: 主要记录从猎取的包中得到的信息 , 包括各层信息 , 以及 URI 信息等 , 而且仍保留了应用层以上的数据.Snort主要数据结构 4插件使用的数据结构 : OutputKeywordListOutputKeywordNode 全局变量OutputKeywords输出插件 KeywordXlateListKeywordXlate 全局变量 KeywordList关键字插件 PreprocessKeywordListPreprocessKeywordNode 全局变量 PreprocessKeywords 预处理器插件插件机制介绍 1可编辑资料 - - - 欢

30、迎下载精品名师归纳总结插件机制使得 snort能够很简洁的增加功能,使得程序有很强的可扩展性。而且使得代码的模块性强 .前面介绍过 snort主要的插件有预处理插件,处理插件和输出插件三种, 它们对应规章中的一个或者多个关键字 , 规章匹配过程中遇到这些关键字时就会激活相应的插件 , 以完成相应的功能 .插件机制介绍 2插件一般由以下函数组成:名称函数名何时调用程序初始化时调用功能注册插件的初始化函数完成本插件的初始化, 注册处理函数在检测过程中完成插件的功能插件的安装函数 SetupXXX插件初始化函数XXXInit说明规章文件时调用插件的处理函数XXXXX检测流程中调用Sno

31、rt主要流程讲解 11. 初始化全局变量 : 初始化 socket,PV, 网络掩码 , 协议名数组 ,fpdetection 配置结构 , 并开启全部的告警标识。 2. 解读命令行 : 设置相关参数 , 主要是 PV。 3. 设置运行模式 , 检查输入的配置是否正确 , 如目录是否存在并可写。 4. 对输出插件进行初始化 , 并设置各层协议所对应的解码函数。Snort主要流程讲解 25.进行其余插件的初始化工作, 如预处理器, PLUGIN,TAG等, 并输出最终生成的链表。 6.建立初始的规章链表RuleLists,并依据 PV 的配置确定是否需要排序。7.解读配置文件 config

32、_file.依据配置文件的内容, 设置系统变量的数据, 激活使用的插件包括输出插件 , 预处理器插件 , 处理插件 ,初始化并将处理函数挂接到函数链中Snort主要流程讲解 38.导入规章文件进行解读, 进而形成规章链表。 9.去掉 root权限 , 并将当前目录转移到 log目录中。 10.依据 PV 的配置检查在命令行中是否设定了告警和日志插件。如果有 , 就激活相应的插件初始化并将处理函数挂接到函数链中。Snort主要流程讲解411.创建并初始化 fastpacket输出引擎 . 建立了四个结构 :prmTcpRTNX, prmUdpRTNX,prmI

33、pRTNX, prmIcmpRTNX*PORT_RULE_MAP,遍历前面过程中建立的规章链表RuleLists,将其填入这四个结构中, 从而建立起以协议为分类的规章树, 而且每种协议又区分为 uri_content,content,no_content三类, 这样就大大削减了检索的时间.一些说明Snort使用的匹配方法是Boyer-Moore检测方法 ,大大提高了检测速度Snort使用了二维的链表以及递归节点遍历的实现, 使得其性能增长了200% 到 500% 为了加快检索速度,snort中使用了大量的平稳二叉树为了防止使用递归, 增加了父指针 , 仍使用了哈希表来对 threshol

34、d进行治理 .对 Snort 的一些评判Snort已经基本具备了NIDS 的功能 , 它的规章具有简洁, 高效 , 灵敏 , 更新快速的特点 .它的规章选项概念清楚明确, 选项之间没有从属关系, 规章之间除了启动与被启动之外没有其它的关系 .规章从技术类型 , 攻击类型 , 威逼类型等角度进行了分类 , 而且仍定义了优先级 , 虽然在理论上不太科学完整 , 但在实现运用中仍是相当有用的, 可以比较便利的针对可编辑资料 - - - 欢迎下载精品名师归纳总结各种网络环境作出调整, 对规章集加以剪裁 .对 Snort 的一些评判由于 Snort本身定位在一个轻量级的入侵检测工具 , 尽管与商业的

35、入侵检测工具比起来, 它的规章语言略显简洁 , 在报警方式和图形化使用界面上也显露出不足之处, 但是程序的整体结构清楚 , 规章语言简洁有用并供应插件的功能支持 , 用户可以添加自己的检测规章和处理函数, 这对于规章库的准时更新有着极为现实的意义.对 Snort 的一些评判作为 NIDS,snort也存在自身弱点 , 攻击者很简洁通过转变特点字符串来逃过其模式匹配的检测 Snort自定义的结构也存在确定的问题, 其规章的搜寻树定义虽然能够加速其搜寻速度 , 但在确定程度上不利于其多线程的并行检测, 从而不利于进行分布式检测 . Snort 自身也在进行着不断的改进, 如在预处理器插

36、件中加入了协议分析, 流分析 , 碎片重组检查等功能 , 使得告警的效率和精确率得到提高.1版权申明本文部分内容，包括文字、图片、以及设计等在网上搜集整理。版权为潘宏亮个人全部This article includes some parts, including text, pictures, and design. Copyright is Pan Hongliangs personal ownership.用户可将本文的内容或服务用于个人学习、争论或观看，以及其他非商业性或非盈利性用途，但同时应遵守著作权法及其他相关法律的规定，不得侵害本网站及相关权益人的合法权益。除此以外，将本文任何内

37、容或服务用于其他用途时，须征得本人及相关权益人的书面许可，并支付酬劳。Users may use the contents or services of this article for personal study, research or appreciation, and other non-commercial or non-profit purposes, but at the same time, they shall abide by the provisions of copyright law and other relevant laws, and shall not in

38、fringe upon可编辑资料 - - - 欢迎下载精品名师归纳总结the legitimate rights of this website and its relevant obligees. In addition, when any content or service of this article is used for other purposes, written permission and remuneration shall be obtained from the person concerned and the relevant obligee.转载或引用本文内容必

39、需是以新闻性或资料性公共免费信息为使用目的的合理、善意引用，不得对本文内容原意进行曲解、修改，并自负版权等法律责任。Reproduction or quotation of the content of this article must be reasonable and good-faith citation for the use of news or informative public free information. It shall not misinterpret or modify the original intention of the content of this article, and shall bear legal liability such as copyright.可编辑资料 - - - 欢迎下载

展开阅读全文