（通信与信息系统专业论文）基于web的网络入侵检测虚拟实验平台的设计与实现.pdf

摘要 随着现代网络通信技术的飞速发展，i n t e r n e t 为人们提供了一种 高效率、高速度的通信方式，但是网络安全问题也跟着日趋严重，因 此入侵检测技术成为了当前网络安全领域的一个研究热点。虽然很多 的高校都开设了网络安全方面的课程，然而由于硬件设施等实验条件 的限制，对于这样一个重要的技术，广大高校学生却很难清晰直观地 了解它的原理和实现过程。面对这一系列的困难，通过i n t e m e t 构建 远程虚拟实验室成为了解决问题的重要途径。 本文在对入侵检测系统( d s ) 通用模型框架及其基本原理的深 入分析研究的基础上，针对目前网络安全教学和科研方面存在的问 题，提出了一种基于w e b 的入侵检测虚拟实验室系统。该系统采用 b s 的开发模式，通过h t m l 和j s p 实现对系统用户界面的显示， s e r v l e t 实现实验系统的业务逻辑，以j a v ab e a n 组件技术对数据生成 和入侵检测系统的感应器模块、分析器模块、统计显示模块、配置管 理模块进行了开发。用户可以根据自己的需要配置系统参数，选择数 据生成方式、配置过滤规则和检测规则、动态的添加检测算法以及选 择实验结果的显示形式。整个实验过程中，用户能较直观深入的参与 入侵检测系统的具体配置和操作，对于了解和掌握入侵检测系统的结 构和主要原理大有帮助。 本文最后对平台实现过程中的研究与开发工作进行了总结，并阐 述了将来进一步对该系统进行扩充与完善的一些工作。 关键词：虚拟实验室，入侵检测系统，入侵检测系统通用模型框架， j a v a b e a n s w i t ht h ed e v e l o p m e n to fm o d e mn e t w o r ka n de o m m u n i e a t i o n t e c h n o l o g i e s ，i n t e r a c ts u p p l i e sp e o p l e a l l e f f i c i e n t ，h i g h - s p e e d c o m m u n i c a t i o nm e t h o d a tt h es a 】：n et i m e t h ep r o b l e mo fs e c u r i t yi s g e t t i n gw o r s e t h e r e f o r ei n t r u s i o nd e t e c t i o nt e c h n i q u eb e c o m e st h e h o t s p o to fn e t w o r ks e c u r i t y a l t h o u g hm a n yu n i v e r s i t i e sh a v eo f f e r e dt h e c o u r s e sa b o u tn e t w o r ks e c u r i t y , t h ec o l l e g es t u d e n t sc a nn o ts e eh o wt h i s i m p o r t a n tt e c h n o l o g yw o r k sc l e a r l ya n di m m e d i a t e l yb e c a u s eo ft h e l i m i t e de x p e r i m e n tc o n d i t i o n a ni m p o r t a n tw a yt or e s o l v et h e s e p r o b l e m si st ob u i l dr e m o t ev i r t u a ll a b o r a t o r y i nt h i sp a p e r , w ef i r s t l ys t u d yt h et h e o r i e so fc o m m o ni n t r u s i o n d e t e c t i o nf r a m e s ( c i d f ) a n di n t r u s i o nd e t e c t i o ns y s t e m ( t d s ) t h e nw e p r o p o s ei d sv i r t u a ll a bs y s t e mb a s e do nw e ba g a i n s tt h ep r o b l e m si n e d u c a t i o na n dr e s e a r c ho fn e t w o r ks e c u r i t y t h es y s t e mi sd e v e l o p e db y b sm o d e t h eu s e ri n t e r f a c ei si m p l e m e n t e db yh t m la n dj s 只t h e c o n t r o lo fe x e c u t i v ef l o wi si m p l e m e n t e db ys e r v l e t i nt h ev i r t u a ll a b ， d a t ag e n e r a t o rm o d u l e ，i n d u c t o rm o d a l e 。a n a l y z e rm o d u l e ，s t a t i s t i ca n d d i s p l a y i n gm o d u l ea n dm a n a g e m e n tm o d u l eo fi d sa g ed e v e l o p e d 、i t i l j a v ab e a n u s e r sc a nc o n f i g u r et h es y s t e mp a r a m e t e r s f o re x a m p l e ， d s g l 苫c a l lc h o o s et h em o d eo f d a t ag e n e r a t o r , c o n f i g u r et h ef i l t e rr u l e sa n d d e t e c t i o nr u l e s ，a d dd e t e c t i o na l g o r i t h m sd y n a m i c a l l ya n dc h o o s et h e f o r mt od i s p l a yt h ee x p e r i m e n tr e s u l t i nt h ew h o l e p r o c e s so f e x p e r i m e n t , u s e r sp a r t i c i p a t ei nc o n f i g u r a t i o na n do p e r a t i o no f i d si n t u i t i v e l ya n dt h i s i sh e l p f u lf o r t h eu s e r st ou n d e r s t a n da n dm a s t e rt h es t r u c t u r ea n dt h e o r y o f ) s f i n a l l y , t h ep a p e rs u m su p0 1 1 1 w o r k sd u r i n gt h ed e s i g na n d d e v e l o p m e n t , a n dd i s c u s s e sh o w t oi m p r o v et h ep l a t f o r mi nt h ef u t u r e k e yw o r d s ：v i r t u a ll a b o r a t o r y , i n t r u s i o nd e t e c t i o ns y s t e m ，c o m m o n i n t r u s i o nd e t e c t i o nf l a m e s ，j a v a b e a n s 原创性声明 本人声明，所呈交的学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。尽我所知，除了论文中特别加以标注和致谢 的地方外，论文中不包含其他人已经发表或撰写过的研究成果，也不 包含为获得中南大学或其他单位的学位或证书而使用过的材料。与我 共同工作的同志对本研究所作的贡献均已在论文中作了明确的说明。 作者签名：兰逛i 塾日期：丛让月丛日 关于学位论文使用授权说明 本人了解中南大学有关保留、使用学位论文的规定，即：学校 有权保留学位论文，允许学位论文被查阅和借阅；学校可以公布学位 论文的全部或部分内容，可以采用复印、缩印或其它手段保存学位论 文；学校可根据国家或湖南省有关部门规定送交学位论文。 作者签名址导师签名蔓上鱼每日期：竺! 年华月幺日 预士学位论文第一章绪论 1 1 课题研究背景 第一章绪论 当今社会已经进入了信息时代，计算机网络正成为信息化社会中十分重要的 一类基础设施，越来越多的人把互联网作为信息交流的重要手段。根据2 0 0 5 年 7 月2 1 日中国互联网络信息中心( a 州i c ) 发布的“第十六次中国互联网络发 展状况统计报告”【l l ，截止到6 月3 0 日，我国上网用户总数突破l 亿，为1 0 3 亿人，相比第十五次的统计报告，半年时间里增加了9 0 0 万人。其中宽带网用户 人数达到5 3 0 0 万，首次超过了网民的一半。我国网民数和宽带上网人数均仅次 于美国位列世界第二。根据此次调查，我国上网计算机数达到4 5 6 0 万台，比去 年同期增长2 5 6 。然而，网络技术和网络应用不断发展，网络安全问题也逐渐 成为信息时代人类共同面临的挑战。据有关方面统计，目前美国每年由于网络安 全问题而遭受的经济损失超过1 7 0 亿美元，德国、英国也均在数十亿美元以上， 法国为1 0 0 亿法郎，日本、新加坡问题也很严重。在国际刑法界列举的现代社会 新型犯罪排行榜上，计算机犯罪已名列榜首。2 0 0 3 年，c s i f b i 调查所接触的 5 2 4 个组织中。有5 6 遇到电脑安全事件，其中3 8 遇到l 5 起、1 6 以上遇 到l l 起以上。因与互联网连接而成为频繁攻击点的组织连续3 年不断增加；遭 受拒绝服务攻击( d o s ) 则从2 0 0 0 年的2 7 上升到2 0 0 3 年的4 2 。调查显示， 5 2 1 个接受调查的组织中9 6 有网站，其中3 0 提供电子商务服务，这些网站在 2 0 0 3 年1 年中有2 0 发现未经许可入侵或误用网站现象。面对如此严峻的安全 形式，人们不得不重新关注网络安全问题。现在已经提出了很多解决安全问题的 策略和技术，入侵检测系统是网络安全领域中的一项重要技术，但是该项技术目 前还并不成熟，也无法完全满足人们的要求。对入侵检测技术的研究工作开展了 很多，很多高校也开设了网络安全方面的课程，这门课程的原理大多很抽象，需 要通过实验的操作实践来帮助理解和掌握，但是开设实验对实验设备、器材和场 地等条件的要求较高，需要相当的费用，学校一般很难提供相应的实验条件，因 此这门课程的教学效果并不理想，学生们很难对其中的主要原理有直观深入的认 识，也就无从谈及理论和技术创新了 随着信息化进程的深入，互联网络和各种以网络为媒介的服务也跟着迅速兴 起并普及开来，使人们的工作、学习和生活方式都发生了巨大的变化这种变化 同样也体现在教学和科研模式的改革上，人们开始研究利用i n t e r n e t 进行远程教 学和科研以突破传统模式在资源，实验条件、地域环境等方面的限制，从而节约 硕士学位论文 第一章绪论 大量的基础设施建设的重复投资，提供良好的交互性和巨大的资源共享潜力。 1 9 8 9 年美国v r g i n i a 大学的w i l l i a mw a i f 教授提出了虚拟实验室1 2 】( v i r t u a l l a b o r a t o r y ) 的概念，用来描述一个计算机网络化的虚拟实验室环境。这种虚拟 实验室环境的新思想，致力于构建一个综合不同工具和技术的集成环境。在这个 环境中，研究人员可以有效的利用地理上分布的各种资源( 数据、信息、设备、 人员等等) 从事科研活动。w u l f 教授形象的把虚拟实验室称为“无墙的研究中 心”【3 】。在这种环境下，各科研人员就某一科研项且进行交流，可以使用仪器， 共享数据和资源。共同在数字图书馆中提取信息，存储信息，撰写学术论文等。 他将虚拟实验室的基本功能定义为： ( 1 ) 数据共享 在不同的地点研究同一内容课题的研究人员能够迅速、方便的查找所需要的 数据库资料，及时的了解最新科研动态； ( 2 ) 软件共享 在不同地点的研究人员能够分享数据分析、图表显示、模型构造的软件工具； ( 3 ) 远程仪器控制 在不同地点的研究人员能够控制、操作一些位于远程或人类难以到达的地方 ( 如火山、海底和太空等) 的仪器设备； ( 4 )远程学术交流 不同地点的学者能够方便的跨越空间和地域的限制进行实时交流。 在虚拟实验室概念提出的最初，它还仅仅是为了科研服务的一项技术，但随 着实现技术的不断发展以及需求的日益扩大，虚拟实验室也扩展到了远程教学实 验等其他的领域。建立一个入侵检测虚拟实验室，利用虚拟的实验环境和设备进 行仿真实验，必将大大的改善和提高对入侵检测技术的教学和科研效果，极大的 推动该领域技术的发展和进步。 1 2 课题研究现状 入侵检测的研究最早可追溯到2 0 世纪8 0 年代，但受到重视和快速发展是在 i n m m e t 兴起之后。早在1 9 8 0 年，ja n d e r s o n 等人就提出了入侵检测的概念，对 入侵行为进行了简单地划分，提出使用审计信息跟踪用户可疑行为。1 9 8 5 年， d e n n i n g 在o a k l a n d 提出第一个实时入侵检测专家系统模型1 4 】，以及实时的、基 于统计量分析和用户行为轮廓口r o t i l e ) 的入侵检测技术。该模型是入侵检测研究 领域的里程碑，此后大量的入侵检测系统模型开始出现，很多都是基于d e n n i n g 的统计量分析理论。进入9 0 年代以后，随着p o r r a s 和k e m m e r e r 基于状态转换 2 硕士学位论文第一章绪论 分析的入侵检测技术栌l 的提出和完善，根据已知攻击模型进行入侵检测的方法成 为该领域研究的另一热点。从系统组成上看，入侵检测一般由3 个部分组成：数 据采集( 感应器) 、检测分析引擎，响应器嘲。数据采集模块根据入侵检测类型 的不同，采集不同类型的数据，比如网络的数据包、操作系统的系统调用日志或 者应用日志；分析引擎实现检测算法。从最简单的字符串匹配到复杂的专家系统 甚至神经网络，它是入侵检测系统 7 1 的核心部分；响应模块根据分析引擎的判定 结果，按照响应策略中预定义的规则进行不同的响应处理。由于当前网络安全状 况的严峻性，国内外对入侵检测技术的研究都加大了力度。目前已经出现了很多 商用化的入侵检测产品，比如i s s 公司的r e a l s c c u r e ，它将基于网络的、基于主 机的和基于协议堆栈的入侵检测技术、分布式技术和可生存技术完美结合起来， 提供实时的安全监控；安氏中国公司的领信入侵检测系统，它是根据中国客户需 求开发出来的基于网络的、自动实时入侵检测和响应系统；赛门铁克公司推出的 基于主机的s i n 觚l d e ra l e r t ( 1 1 a ) 和基于网络的d s 一n e t p r o w l c r ：上 海金诺网络安全技术发展股份公司研制的集检测、防御和响应为一体的全方位计 算机网络安全检测与防御的硬件系统一k i d s ；c a 公司开发的纯软件i d s 系统 - - - - - - e t r u s ti n t r u s i o nd e t e c t i o n ：启明星辰的。天阗”系列i d s 等等。但是考虑到 各自的商业利益以及防止攻击者确切得知检测原理和签名的工作机制，这些i d s 开发商都不会公布自己的检测算法和攻击签名机制，像s n o r t i s 这样的开放源 代码的入侵检测系统相对较少，使得一般人士根本无法了解它们的内部机制和原 理要开展对入侵检测技术的教学培训或研究，实验是必不可少的环节，然而入 侵检测产品大多价格昂贵，而且搭建试验网络环境也需要相当的费用，因此实际 中很少能通过实验来辅助入侵检测技术的教学和研究。 为了解决部分课题研究和教学中的资源、设备、场地、金费等相对紧张的问 题，国内外都投入了大量的人力和物力开展虚拟实验室的研究和建设工作，也取 得了相当的进展。目前虚拟实验室在发达国家已经十分普及，一些著名的大学和 研究机构已经建成了不少虚拟实验室系统并投入了使用，其涵盖的领域包括基础 物理学、基础化学、海洋学、天体物理学以及分子生物学等等。在国内虽然对虚 拟实验室的研究起步较晚，但也取得了一些成果。清华大学、北京大学，上海交 通大学、华中科技大学( 原名华中理工大学) 、中南大学等高校已陆续在网上设 立了自己的电子教室，其中有少数电子教室提供了有限的虚拟实验服务，如中南 大学信息科学与工程学院建立了一个数字图像处理网上虚拟实验室1 9 1 ，华中理工 大学机械学院建立了一个工程测试网上虚拟实验室，学生可以通过联网计算机终 端来进行仿真实验。 研究表明，目前虚拟实验室的系统设计方案从实现技术的角度可分为两大 3 硕士学位论文第一章绪论 类：一类是以纯软件方式开发；另一类是软件结合硬件的方式。以纯软件方式开 发的虚拟实验室大多是采用了现今流行的w w w 技术，包括h t m l 、c g i 、j a v a a p p l e t 、j a v a s e r v l e t 等技术。如文献【1 0 l 提出了一种可以用于远程学习的基于j a v a 的电子仪器辅助教学系统。该系统包括信息模块、设备模块、检测模块和f a q 模块四部分，通过它能帮助用户学习示波镜、信号发生器以及逻辑分析器的使用 方法；文献【1 1 l 中提出的基于i n t e r a c t 虚拟实验室是以j a v a 语言开发实现的，客户 端用j a v aa p p l e t 实现，设备组件用j a v a b e a n 实现。该实验室以组件的方式提供 具体的仪器设备，用户可以可视化地制定自己的实验流程。动态地引入、创建实 验设备对象；文献【1 2 l 提出了一种采用c o r b a 技术实现的基于w e b 的虚拟实验 室体系结构；文献【1 3 l 中提出了一种以组件技术构架的基于i n t e m e t 的数字图像处 理仿真系统模型。该模型采用基于j a v a 的组件对象技术，提高了开发效率，实 现了软件重用，使得系统易于维护和扩充，并通过c o r b a 技术来实现j a v a 与 m a t l a b 之间的无缝联接，大大提高了系统的仿真能力；文献【1 4 】中介绍了远程编 程虚拟实验室的设计，客户端采用j a v a a p p l e t ，服务器端采用c g i 、j a v as e r v l e t ， 客户端把程序代码以文本的方式发送给服务器，服务器调用相应的语言编译器编 译执行，再将结果返回客户端；文献【1 5 】提出了基于w e b 的分布式虚拟教育实验 室。该系统允许服务器端的组件数据库分布在不同的主机上，客户端的请求通过 远程连接管理者来定位服务组件，服务组件的开发采用l a b v i e w 平台；文献【1 6 1 中描述了一个基于i n t e r n e t 的自动控制理论远程实验室，其客户端采用了h t m l 和j a v a a p p l e t 页面作为用户界面，服务器端则以m a t l a b s i m l j l i n k 作为实验 环境。用户利用服务器端的m a t l a b s i m u l i n k 环境自行设计控制器进行实验， 然后服务器端再将实验结果返回到客户端；文献【1 7 1 描述了一个虚拟生物学实验 室的设计与开发，该系统是以j a v a a p p l e t 作为客户端，以j a v a b e a n 的形式实现 实验组件并使用x m l 语占来描述数据和记录实验结果。以软件结合硬件方式开 发的虚拟实验室在客户端还是采用h t m l 、j a v aa p p l e t 等技术，不同的是服务器 端加入了真实硬件设备来完成仿真过程。如文献【i 硼中提出的m 网络虚拟实验室 是以一台e t h e r n e ts w i t c h 和多台运行l i n u x 操作系统的p c 机作为仿真设备，用 户可以在w e b 上远程输入l i n u x 网络操作命令，服务器端将仿真设备的结果返 回给用户。 纯软件技术的虚拟实验室是目前计算机仿真研究中的重要工作之一，并且已 经在很多领域中产生了很好的应用。网络安全的相关理论和知识是信息安全等专 业的必修知识，但是由于成本和费用的问题，目前其相关的实验环境十分缺少。 而在这方面，国内也还没有很完善的虚拟实验系统能提供相关的仿真实验服务， 我们开发这样一个入侵检测虚拟实验平台，希望能对这方面的教学和研究起到一 硕士学位论文第一章绪论 定的辅助作用。 1 3 研究目标 1 ) 通过本项目的研究，能够提供一个基于w e b 的入侵检测虚拟实验室系统 平台，该平台实现了网络攻击数据的模拟以及入侵检测系统的基本功能，用户能 够在该平台上方便地添加新的攻击方法和新的检测算法。 ( 2 ) 用户更多的参与实验的配置操作。通过选择攻击类型、过滤规则、检测 算法以及自定义检测规则，并通过对不同攻击采用不同规则和算法的检测结果的 比较等，深入了解入侵检测技术的内部原理和机制。 ( 3 ) 算法组件的可扩充性。用户能够自行编写检测算法组件，并添加到实验 中来，以测试和验证算法的可行性。 ( 4 ) 实验结果和统计数据的多元化的图形显示。系统对检测结果中的多项统 计数据提供表格、柱状图、饼状图、线形图等方式的显示，使实验结果更直观清 晰。 1 4 论文组织结构 本文共分为六章。 第一章绪论。这一章主要介绍网络安全和基于i n t e m e t 的虚拟实验室的研究 背景，并介绍虚拟实验室以及入侵检测技术的研究及发展现状，并提出基于w e b 的入侵检测虚拟实验室的研究目标。 第二章系统的总体设计。这一章首先就现有的入侵检测技术进行分类，并对 其主要特点进行了介绍。根据入侵检测技术课程实验的特点提出系统需求，根据 需求确定设计目标，提出设计思想以及平台的总体架构。 第三章系统的关键技术。这一章对系统实现过程中使用的关键技术进行了详 细的介绍，包括攻击数据的模拟生成技术、j a v a b e a n s 组件技术、1 a v a 反射技术、 j d b c 数据库连接池技术、入侵检测模式匹配算法实现技术等关键技术在系统的 不同功能模块中所发挥的作用。 第四章系统主要模块的设计与实现。这一章主要根据入侵检测虚拟实验室系 统的主要功能模块( 数据生成模块、配置管理模块、感应器模块、分析器模块和 响应器模块) 的划分，介绍了各个功能模块的详细设计和实现方法。 第五章系统运行实例这一章以一次l a n d 和u d p 洪水混合的攻击实验为 例，介绍了系统的整个实验流程，并对实验的结果进行了简要的分析。 第六章结束语。对所做的虚拟实验系统的设计与开发工作进行了总结，并阐 述了将来进一步的扩展与完善此开发系统需要做的设计与开发工作。 5 硬士学位论文第二章系统的总体设计 第二章系统的总体设计 2 i 入侵检测系统模型 2 1 1i d e s 模型 i d e s e 嘲，即入侵检测专家系统，是在1 9 8 6 年由美国斯坦福国际研究所( s k i ) 的d o r o t h ye d e n n i n g 提出并建立的第一个实时入侵检测模型 2 0 1 。该模型的检测 方法是建立用户正常行为的描述模型，并以此同当前用户活动的审计记录进行比 较，如果出现较大偏差，则表示有异常活动发生。这是一种基于统计的检测方法。 在这个模型中，主体要对客体进行访问必需通过一个安全监控器，该模型独立于 任何特殊的系统和应用环境。它能够检测出黑客入侵，越权操作以及非正常使用 计算机系统的行为。该模型主要基于这样的一个假设：计算机安全的入侵行为可 以通过检查个系统的审计记录，从中辨识出异常使用系统的入侵行为。i d e s 模型包含了主体( s u b j e c t ) 、客体( o b j e c t ) 、审计记录( a u d i t r e c o r d s ) 、参数( p r o f i l e ) 、 异常记录( a n o m a l yr e c o r d s ) 和活动规则( a c t i v i t yr u l e s ) 六个组成部分。其中前 四个部分最为重要，它们的具体情况如下： ( 1 ) 主体 主体是指系统操作中的主动发起者，例如计算机操作系统的进程、网络的服 务连接等。客体是指系统中被操作的对象，如文件系统、网络服务端接口等。值 得说明的是主体和客体有时是相互转变，例如操作系统进程a ，当去访问文件b 时，进程a 是主体；而从进程创建者的角度来看，则进程a 是客体。因此，模 型中的审计数据的对象是在不断的变化，这取决于入侵检测系统的审计策略。 ( 2 ) 客体 客体指的是系统所管理的资源，如文件等。 ( 3 )审计数据 审计数据指的是主体( s u b j e c t ) 对客体 一 e n d l ) ，若分片2 的o f t 2 e n d l ，则使o f f s e t 2 = e n d l ，但是如果此时e n d 2 e n d l ( o f f s e t 2 ) ，则1 e n 2 0 。从而产生错误。 ( 3 ) 后门攻击 一台计算机上有6 5 5 3 5 个端口，那么如果把计算机看作是一间屋子，那么这 6 5 5 3 5 个端口就可以它看做是计算机为了与外界连接所开的6 5 5 3 5 扇门。为了同 时处理很多应酬，就决定每扇门只对一项应酬的工作。所以有的门是主人特地打 开迎接客人的( 提供服务) ，有的门是主人为了出去访问客人而开设的( 访问远 程服务) 理论上，剩下的其他门都该是关闭着的，但偏偏因为各种原因，有 的门在主人都不知道的情形下，却被悄然开启。于是就有好事者进入，刺探系 统隐私，扰乱系统正常运行。这扇悄然被开启的门就是今天我们要讲的 “后门”。通常网络攻击者在获得一台主机的控制权后，会在主机上建立 后门，以便下一次入侵时使用。后门的种类很多，有登陆后门、服务后 门、库后门、口令破解后门等。这些后门多数存在于u n i x 系统中目 前，建立后门常用的方法是在主机中安装木马程序攻击者利用欺骗的 手段，通过向主机发送电子邮件或是文件，并诱使主机的操作员打开或 运行藏有木马程序的邮件或文件；或者是攻击者获得控制权后，自己安 装木马程序对付后门攻击的方法是经常检测系统的程序运行情况，及 时发现在运行中的不明程序，并用木马专杀工具进行查杀木马 ( 4 ) 端口扫描 根据t c p 协议规范，当一台计算机收到一个t c p 连接建立请求报文( t c p s y n ) 的时候，做这样的处理： 硕士学位论文第三章系统关键技术 如果请求的t c p 端口是开放的，则回应一个t c p a c k 报文，并建立t c p 连接控制结构( t c b ) ； 如果请求的t c p 端口没有开放，则回应一个t c pr s t 报文，告诉