入侵检测系统研究

入侵检测系统研究（精选十篇）

入侵检测系统研究 篇1

在人们越来越多地和网络亲密接触的同时,被动的防御已经不能保证系统的安全。针对日益繁多的网络人侵事件,需要在使用防火墙的基础上选用一种协助防火墙进行防患于未然的工具,这种工具要求能对潜在的入侵行为作出实时判断和记录,并能在一定程度上抗击网络入侵,扩展系统管理员的安全管理能力,保证系统的绝对安全性。并能使系统的防范功能大大增强,甚至在入侵行为已经被证实的情况下,能自动切断网络连接,保护主机的绝对安全。在这种形势下,基于多年对网络安全防范技术和黑客入侵技术的研究而开发的网络安全产品——入侵检测系统IDS(Intrusion Detection System)应运而生了。

1 入侵检测系统(IDS)概念

1980年,James P.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部渗透、内部渗透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。在其之后,1986年Dorothy E.Denning提出实时异常检测的概念[2]并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES)。1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统NSM(Network Security Monitor)。自此之后,入侵检测系统才真正发展起来。

入侵检测是一种主动保护自己免受攻击的网络安全技术。作为防火墙的合理补充,入侵检测技术能够帮助系统对付网络攻击,扩展了系统管理员的安全管理能力(包括安全审计、监视、攻击识别和响应),提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息,并分析这些信息。入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行监测。

“入侵”(Intrusion)是个广义的概念,不仅包括被发起攻击的人(如恶意的黑客)取得超出合法范围的系统控制权,也包括收集漏洞信息、拒绝服务(Denial of Service)等对计算机系统造成危害的行为。入侵检测(Intrusion Detection),顾名思义,便是对入侵行为的发觉。它通过对计算机网络或计算机系统中的若干关键点收集信息并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。进行入侵检测的软件与硬件的组合便是入侵检测系统(IDS,Intrusion Detection System)。与其它安全产品不同的是,入侵检测系统需要更多的智能,它必须能够对得到的数据进行分析,并得出有用的结果。一个合格的入侵检测系统能大大简化管理员的工作,保证网络安全地运行。

2 入侵检测系统模型

美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型[2]。该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。这是一种基于统计的检测方法。随着技术的发展,后来人们又提出了基于规则的检测方法。结合这两种方法的优点,人们设计出很多入侵检测的模型。通用入侵检测构架(Common Intrusion Detection Framework简称CIDF)组织,试图将现有的入侵检测系统标准化,CIDF阐述了一个入侵检测系统的通用模型,一般称为CIDF模型,如图一所示。但是并没有对IDS系统的体系结构进行任何约束,也没有限制其实现所采用的编程语言和依赖的操作系统。它将一个入侵检测系统分为以下四个组件:

(1)事件产生器(Event Generators)

CIDF将入侵检测系统需要分析的数据统称为事件(Event),事件可以是基于网络的数据包也可以是主机的系统日志等其它信息。事件产生器是IDS的感知部件,相当于“事件”数据采集器。目的是从整个计算机环境中获得事件,并向系统其它部分提供此事件。

“事件”可以是复杂的事件,或者是低层网络协议事件,它不一定是入侵事件本身。事件产生器进行信息收集,还可完成必要数据过滤功能。

(2)事件分析器(Event Analyzers)

也称为分析引擎。对来自事件产生器输入的事件流进行检测分析,从而抽取相关信息,产生分析结果,并根据数据分析结果确定应该采取的行为。

(3)响应单元(Response Units)

接收事件分析器的分析结果和其它组件的信息,根据响应策略对入侵事件进行反应。它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的日志记录和报警。

(4)事件数据库(Event databases)

事件数据库是存放各种中间和最终数据的地方,也称为日志,它用来存储、管理系统中多种类型事件的数据,对系统各个阶段的数据进行管理,也可以进行高级搜索、关联性分析、序列模式分析、趋势分析等。它可以是复杂的数据库,甚至是数据仓库,也可以是简单的文本文件。

3 入侵检测系统的分类

目前入侵检测系统按功能可以分为四类:

(1)系统完整性校验系统(SIV)

SIV可以自动判断系统是否有被黑客入侵迹象,并能检查是否被系统入侵者更改了系统文件,以及是否留有后门,监视针对系统的活动(用户的命令、登陆/退出过程,使用的数据等),这类软件一般由系统管理员控制。

(2)网络入侵检测系统(NIDS)

NIDS可以实时检验网络的数据包,及时发现端口是否有黑客扫描的迹象。监视计算机网络上发生的事件,然后对其进行安全分析,以此来判断入侵企图;分布式NIDS通过分布于各个节点的传感器或代理对整个网络和主机环境进行监视,中心监视平台收集来自各个节点的信息,并监视网络流动的数据和入侵企图。

(3)日志分析系统(LFM)

LFM对于系统管理员进行系统安全防范来说非常重要,因为日志记录了系统每天发生的各种各样的事情,用户可以通过日志记录来检查错误发生的原因,或受到攻击时攻击者留下的痕迹。日志分析系统的主要功能有:审计和监测、追踪侵入者等。日志文件也会因大量的记录而导致系统管理员用一些专业的工具对日志或者报警文件进行分析。此时,日志分析系统就可以起作用了,它帮助系统管理员从日志中获取有用的信息,使管理员可以针对攻击威胁采取必要措施。

(4)欺骗系统(DS)

普通的系统管理员日常只会对入侵者的攻击作出预测和识别,而不能进行反击。但是DS可以帮助系统管理员做好反击工作。DS通过模拟一些系统漏洞来欺骗入侵者,当系统管理员通过一些方法获得黑客企图入侵的迹象后,利用欺骗系统可以获得很好的效果。例如,重命名NT上的Administrator帐号,然后设立一个没有权限的虚拟帐号让黑客来攻击,在入侵者感觉到上当时,管理员也就知晓了入侵者的一举一动和他的水平高低。

4 IDS的评价标准

目前的入侵检测技术发展迅速,应用的技术也很广泛,如何来评价IDS的优缺点就显得非常重要。评价IDS的优劣主要有这样几个方面[5]:

(1)有效性、准确性

有效性是所有需求中最重要的一个。准确性是指IDS不会标记环境中的一个合法行为为异常或入侵。入侵检测系统必须能够准确地、持续地检测到入侵行为和其它感兴趣的预定义的使用模式,且对于入侵事件的错报与漏报能够控制在一定范围内。

(2)实时性

入侵检测系统必须具有时效性,即能够实时地执行对目标环境的监测任务。如果入侵行为或者入侵企图能够尽快的被发现,这就使得有可能对入侵者进行追踪,阻止其进一步的入侵活动,把破坏控制在最小限度,并能够记录下入侵过程的全部活动。

(3)可扩展性

因为存在成千上万种不同的已知和未知的入侵手段,它们的入侵行为特征也各不相同。所以必须建立一种机制,把入侵检测系统的体系结构与使用策略区分开。一个已经建立的入侵检测系统必须能够保证在新的攻击类型出现时,可以通过某种机制在无需对入侵检测系统本身进行改动的情况下,使系统能够检测到新的入侵行为。并且在入侵检测系统的整体功能设计上,也必须建立一种可以扩展的结构以适应未来可能出现的要求。

(4)适应性

入侵检测系统必须能够适用于多种不同的环境,比如高速大容量计算机网络环境,并且在系统环境发生改变,比如增加环境中的计算机系统数量,改变计算机系统类型时,入侵检测系统依然能够正常工作。适应性也包括入侵检测系统本身对其宿主平台的适应性,即跨平台工作的能力,适应其宿主平台软、.硬件配置的各种不同情况。另外还应该能适应客户的不同策略。

(5)安全性

入侵检测系统必须尽可能的完善与健壮,能够自动地适应更好的安全实现的设置和模式。不能向其宿主计算机系统以及其所属的计算机环境中引入新的安全问题及安全隐患。

(6)可靠性

入侵检测系统应该具有一定容错性,即能够在允许一定的冗余和错误的情况下可靠地运行,可以容忍入侵(intrusion-tolerance)。同时,入侵检测系统还应具有完善的自身防护手段。

(7)高效性

入侵检测系统应该能够优化使用计算资源、存储资源、通信带宽资源等,提高检测系统自身的性能,以使它对其所监测的目标环境的影响最小。

(8)易使用性

便于用户使用也是很重要的。一个设计良好的工具应该能够使得非安全专家可以可靠地执行安全任务。

5 IDS的发展趋势

随着入侵检测技术的发展,成型的产品已陆续应用到实践中。入侵检测系统的典型代表是ISS (国际互联网安全系统公司)公司的RealSecure。目前较为著名的商用入侵检测产品还有:NAI公司的CyberCop Monitor、Axent公司的NetProwler、CISCO公司的Netranger、CA公司的Sessionwal l-3等。国内的该类产品较少,但发展很快,已有总参北方所、中科网威、启明星辰等公司推出产品。

人们在完善原有技术的基础上,又在研究新的检测方法,如数据融合技术、主动的自主代理方法、智能技术以及免疫学原理的应用等。其主要的发展方向可概括为:

(1)大规模分布式入侵检测

传统的入侵检测技术一般只局限于单一的主机或网络框架,显然不能适应大规模网络的监测,不同的入侵检测系统之间也不能协同工作。因此,必须发展大规模的分布式入侵检测技术。

(2)宽带高速网络的实时入侵检测技术

大量高速网络的不断涌现,各种宽带接入手段层出不穷,如何实现高速网络下的实时入侵检测成为一个现实的问题。

(3)入侵检测的数据融合技术

目前的IDS还存在着很多缺陷。首先,目前的技术还不能对付训练有素的黑客的复杂的攻击。其次,系统的虚警率太高。最后,系统对大量的数据处理,非但无助于解决问题,还降低了处理能力。数据融合技术是解决这一系列问题的好方法。

(4)与网络安全技术相结合

结合防火墙、病毒防护以及电子商务技术,提供完整的网络安全保障。

6 结束语

在目前的计算机安全状态下,基于防火墙、加密技术的安全防护固然重要,但是,要根本改善系统的安全现状,必须要发展入侵检测技术,它已经成为计算机安全策略中的核心技术之一。IDS作为一种积极主动的安全防护技术,提供了对内部攻击、外部攻击和误操作的实时保护,在网络系统受到危害之前拦截和响应入侵,从立体纵深、多层次防御的角度对系统实施保护。随着网络通信技术安全性的要求越来越高,入侵检测技术必将受到人们的高度重视。在国内,随着上网的关键部门、关键业务越来越多,迫切需要具有自主版权的入侵检测产品。但现状是入侵检测仅仅停留在研究和实验样品(缺乏升级和服务)阶段,或者是防火墙中集成一些较为初级的入侵检测模块。可见,入侵检测产品仍具有较大的发展空间,从技术途径来讲,除了完善常规的、传统的技术(模式识别和完整性检测)外,应重点加强对统计分析的相关技术的研究。

参考文献

[1]Anderson J P.Computer security threat moni- toring and surveillance[P].PA 19034,USA,1980,4.

[2]Denning D E.An Intrusion-Detection Model[A]. IEEE Symp on Security & Privacy[C].1986:118-131.

[3]张杰，戴英侠．入侵检测系统技术现状及其发展趋势[J]．计算机与通信，2002，(6)：28-32．

[4]曾昭苏，王锋波．基于数据开采技术的入侵检测系统[J]．自动化博览，2002，(8)：29-31．

入侵检测系统研究 篇2

【关键词】入侵检测系统设计；混合型；网络安全

前言在计算机快速发展过程中，网络安全问题并没有得到减少反而越来越复杂、问题越来越多，传统的入侵检测技术难以实现对复杂入侵事件的检测，另外传统入侵检测系统往往具有针对性，只适用某种特定网络环境的检测，扩展性和灵活性不足，使检测系统的可用性大大降低，因此，安全网络中混合型入侵检测系统的设计尤为重要，利用多种检测方式打破传统检测的局限，适应现代网络安全检测的需求，为网络的安全运行提供保障。

1网络安全中混合型入侵检测系统设计中的关键模块

1.1异常模块

混合型检测系统的异常模块主要是负责分析和处理输入的网络数据中的流量信息。主要的检测方法有基于马尔可夫模型的方法、基于自相似理论的方法、基于小波的检测、统计检测方法、阈值检测方法等，下面通过统计检测方法对其进行深入研究。由于网络流量数据具有突发性的特点，基于统计检测方法对其进行检测存在不稳定的特征。通过观察实际网络流量，可以发现作息时间与网络流量的关系，所以在处理实际网络流量时使用方差分析法。具体的流程如图1所示。在通过具体的数据计算，找出出现异常的网络流量，并在具体的模块生成警报，再由警报设定异常值偏差的置信度。如果网络流量正常则采取更新历史模型的方式[1]。

1.2数据融合模块

数据融合可以实现各种信息与许多传感器之间的组合、相关、联合，从而获得精确的完整评价、身份估计、位置估计。混合型入侵检测系统中在获取入侵信息往往通过网络数据、主机资源信息、主机审核、系统日志，这一过程与数据融合的过程相似，因此在混合型入侵检测系统中设计数据融合模块，充分发挥数据融合的行为估计、目标识别、状态估计、相关、校准、检测等功能，采取可信度方法等，以此提高入侵检测系统的入侵信息获取效率，降低误警率。

1.3主动扫描模块

在网络安全中混合型入侵检测系统设计的主动扫描模块，主要是设计插件技术、开放端口的扫描、系统漏洞扫描、系统弱密码扫描的结合运用，在系统设计中很难实现以此成型，因此需要不断的分发、编译、开发，插件技术可以良好的满足这一要求。使用插件技术的方法可以通过COM组件、动态链接库技术等实现。开放端口扫描是在TCP/IP协议上进行的，可以分为UDP端口扫描、TCP端口扫描，而UDP端口扫描包括socket函数扫描、UDPICMP端口不可达扫描。TCP端口扫描包括XMAX扫描、NULL扫描、TCPACK扫描、TCPFIN扫描、TCPSYN扫描。通过具体的方法可以有效的实现对网络安全问题的检测。系统漏洞扫描往往通过构建不同的数据包通过不同系统的返回值不同的方法判定漏洞的类型。系统弱密码扫描的操作流程为读取用户名字典，用户若读完则表示扫描结束，没有入侵。若用户名没有读完，则继续读取密码词典，密码读完则返回用户名读取程序，不能读完则构造登录数据包，发送数据，登录成功则代表入侵成功，通过这种方式能够实现对入侵用户系统的病毒检测[2]。

2网络安全中混合型入侵检测系统的测试

2.1测试系统功能

网络安全的入侵检测系统只有对其功能进行测试，才能使其入侵分析能力。检测能力的可靠性得到保障。测试出的系统功能数据可以有效的反映出IDS的报警能力、审计能力、报告能力、攻击检测能力等，在主动扫描模块、数据获取模块等在应用环境中的测试，输出相应的功能测试结果，从而对系统设计的合理性做出分析，功能测试不合理的模块做出相应的改变，提高安全网络中混合型检测系统的检测能力，为网络安全提供保障[3]。

2.2测试系统的可用性

测试网络安全中的混合型入侵检测系统的可用性，主要是对系统的用户界面的稳定性、扩展性、完整性、可用性进行评估，若是在试验网络下该检测系统的性能表现良好，则说明架构上的具有可扩展性和灵活性，若还在进一步的进行开发测试，则说明该系统的可用性较低，还需要进一步完善。

3结论

综上所述，加强对网络安全中混合型入侵检测系统的设计有利于实现对网络安全的有效保障，促进网络的安全运行，营造良好的网络环境为大家服务。

参考文献

网络入侵检测系统研究 篇3

网络；入侵检测系统；黑客软件

【作者简介】谭 卫（1984—）男，湖南涟源人，华南理工大学硕士毕业，中国民用航空中南地区空中交通管理局助理工程师。研究方向：电子信息化与网络安全。

1.入侵检测系统发展现状

A．入侵检测系统分类[1]

入侵检测系统有不同的分类方法：

按照采用技术不同，分为滥用检测系统和异常检测系统。

按照数据来源不同，分为基于主机的检测系统和基于网络的检测系统。

按照实现结构不同，分为单一、部分分布式以及完全分布式结构系统。

按照响应方式不同，分为被动响应和主动响应检测系统。

B．入侵检测系统面临的问题

检测性能方面：虚警和漏警问题从本质上讲难以避免，现有的入侵检测系统无法实现有效实现提高对新型攻击的检测率并降低虚警率的目标。

检测系统健壮性方面（鲁棒性）：许多商用入侵检测系统会由于某些组件突然失败而导致整个检测系统功能丧失。

自适应方面：入侵检测系统面临的攻击是随着时间而变化的，因此入侵检测系统需要具有动态自适应性，能够既可以适应变化的入侵，而且能够容忍自身系统的变化。

2．基于免疫原理的入侵检测系统

A．免疫原理分析

免疫系统抵御外部入侵，使其机体免受病原侵害的应答反应叫做免疫。外部有害病原入侵机体并激活免疫细胞，诱导其发生反应的过程称为免疫应答。免疫应答分为固有免疫和获得性免疫。前者为机体先天获得，可对病原进行快速消除；后者为特异性识别并消除病原体，具有特异性、记忆、区分自我和非自我、多样性和自我调节等优良特性。诱导免疫系统产生免疫应答的物质称为抗原[2]。

在生物免疫系统中，最主要的机制就是区分自我和非自我。自我就是指自身的细胞；非自我是指病原体、毒性有机物和内源的突变细胞或衰老细胞。在此过程中，免疫细胞能对“非自我”产生免疫应答，来消除其对抗体的危害。但对“自我”则不产生应答，以保持体内环境动态稳定。免疫细胞通过自身的进化和相互作用实现了人类的免疫功能。免疫系统的工作过程总体上是由基因选择、负选择和克隆选择3阶段组成。在这3个阶段中，由于免疫系统不受其它器官的支配，也不需要预先了解特定信息，因此是自组织的。最后由于一个抗体可以识别多种抗原，因此是轻负荷的。

生物免疫系统的特点总结如下，这为构建健壮的计算机安全系统提供了重要基础。①分布性：数百万的淋巴细胞分布于整个生物系统，他们之间没有中央控制机制，是一种没有中心控制器的分布式自制系统，能有效处理问题的非线性自适应网络；②鲁棒性：生物免疫系统中各种组件是大量存在的，因此即使缺少这些组件的一小部分也不会对系统的功能有太大的影响；③自适应性：生物免疫系统是一个自组织的存贮器，且是动态地维持着。它能够适应外界环境的变化，通过学习对新的抗原做出识别和反应，并保留对这些抗原特征的记忆，以帮助下一次对抗原的反应。这些特征是完善的IDS系统所需具备的。因此人们希望通过应用生物免疫机理，构建更高效率的IDS系统，以改进目前IDS系统的性能。

B．基于免疫原理的网络安全研究现状

当前基于人工免疫的网络安全研究内容主要包括反病毒和抗入侵两个方面。当前较有代表性的工作有如下两个：其一是IBM公司的研究人员J.O.Kephart提出的用于反病毒的计算机免疫系统，其二是S.Forrest等人提出的可用于反病毒和抗入侵两个方面的非选择算法。

J.O.Kephart等人提出的计算机免疫系统：通过模拟生物免疫系统的各个功能部件以及对外来抗原的识别、分析和清除过程，IBM公司J.O.Kephart等研究人员设计了一种计算机免疫模型和系统，用于计算机病毒的识别和清除。对已知病毒，该系统依据已知病毒特征和相应的病毒清除程序来识别和消灭计算机病毒。对未知病毒，该系统主要是设计“饵”程序来捕获病毒样本，在“饵”程序受感染后对其进行自动分析并提取病毒特征，设计相应的病毒清除程序。当计算机发现并分析了未知病毒特征时，可将所产生的病毒特征和宿主程序恢复信息传播到网上邻近计算机中，从而使得网络上的其它计算机很快就具有了对付该病毒的能力。该原型系统可以是一个病毒自动分析系统，它是从结构和功能上来模拟生物免疫系统，而没有深入研究生物免疫系统完成这些功能的具体机制并建立和设计相应的模型和算法。

负选择算法：S.Forrest等人在分析T细胞产生和作用机制的基础上，提出了一个负选择算法。T细胞在成熟过程中必须经过阴性选择，使得可导致自身免疫反应的T细胞克隆死亡并被清除，这样，成熟的T细胞将不会识别“自我”，而与成熟T细胞匹配的抗原性异物则被识别并清除。负选择算法是一个变化检测算法，具有不少优点，但它不是一个自适应学习算法。负选择算法自提出后就受到众多研究人员的关注并对其进一步研究。目前，在负选择算法和免疫系统中的学习机制相结合方面已有了一定的进展。

其它：以上仅仅是两个较有影响的工作，此外还有其它很多具有相当影响的相关模型、算法和原型系统，如R.E.Marmelstein等人提出的用于反病毒的计算机病毒免疫分层模型和系统，D.Dasgupt等人提出的基于免疫自主体的入侵检测系统框架等。

C．基于免疫原理的入侵检测一般模型

检测环境的描述:U代表本地主机和网络系统中的所有模式的集合。U被分为两部分:self集合S和non-self集合N。S、N满足S∪N=U并且S∩N=U。

入侵检测问题的描述：s∈U，判断s∈S or s∈N。

人侵检测系统的描述:D代表入侵检测系统D=(f,M)，其中M∈U代表D的检测规则集。f代表判定函数，f：U*€譛→{normal，anomalous)，即

误报、漏报问题的描述:人侵检测系统可能产生的错误有两类，一类是虚警(False Positive)，另一类是漏警(False Negative)。定义试验集Utest,UtestU。令Stest=S∩Utest，Ntest=N∩Utest，则由S∪N=U, S∩N=U可知Stest∪Ntest=Utest并且Stest∪Ntest= 。如果s∈Stest，且f(M,s)=anomalous，则称发生虚警错误，如果s∈Ntest,且f(M,s)=normal，则称发生漏警错误。

入侵检测问题从本质上来说是模式检测问题，以比较小的代价从海量数据中检测出异常数据。生物免疫正是具备这种高效的检测能力，其基因变异、免疫耐受、克隆选择和记忆细胞等原理能够保持机体动态平衡。

人工免疫系统的一般性工程框架[3]如下图1所示，分别为表示层、亲和力定义和免疫算法层。首先将工程中需要计算的对象正确表达出来，包括抗原與抗体的定义，接着定义抗原与抗体之间的亲和力，最后选择合适的免疫算法进行计算。

图1 人工免疫系统的工程框架

在入侵检测领域，以上工程框架可以映射为模式表达、匹配规则定义和检测算法三个过程。首先是模式表达，我们需要将要检测的目标对象表达为合适的抗原和抗体模型，比如我们可以将网络数据包所包含的地址端口等关键信息表达为长二进制串[4]，将进程的系统调用序列表达为短二进制串。接着根据检测对象的不同，选择更合适的亲和力计算方法，比如网络数据包的异常检测可以采用r连续海明距离匹配规则，而系统调用的异常检测可以采用变种的欧拉距离匹配规则。最后是免疫算法的选择，针对入侵检测的各个阶段采用不同的免疫算法，比如检测模式抗体库的产生阶段通常采用否定选择算法，而检测阶段则采用克隆选择算法，若进行大规模网络检测则选择免疫网络模型。

以上三个过程实际上也包含了人工免疫原理应用丁入侵检测系统中的难点所在，首先是模式表达的确定，如何选择合适的关键数据作为检测的模式基础是首要问题，接着是检测指令系统的构建问题，用于检测的抗体库如何优化产生以及如何向低抗体总数的高覆盖率进化，然后就是快速匹配算法的设计问题，如何定义合适的亲和力表达直接涉及到检测率和检测性能。最后是免疫算法的合适问题，如何合理地选择应用免疫系统原理到人侵检测的各个阶段。

同时应该充分考虑到已经取得辉煌成就的生物学其他一些原理。比如利用遗传算法可以解决入侵检测系统的数据优化问题、利用神经网络解决入侵检测系统中的模式识别问题以及利用模糊规则来解决入侵发生后系统的控制问题等等。

本文首先介绍了网络安全的背景知识，然后在分析入侵检测系统面临巨大的挑战后，提出了一种基于免疫原理的入侵检测系统。

第三章是本文的主要内容，里面比较详细地介绍了免疫原理的特点及其应用于入侵检测系统的优点。在了解了目前该方面的研究工作后，本文接着描述了一种基于免疫原理的入侵检测基本模型。

该章重点介绍了一般人工免疫系统的工程框架，并在此基础上，入侵检测领域可以映射为模式表达、匹配规则定义和检测算法三个过程。最后分析了这几个过程中的关键技术以及未来发展可以借鉴的其他理论。

[1]闫 巧.基于免疫机理的入侵检测系统研究.西安电子科技大学.2003

[2]王宝进，薛 娟.基于生物免疫原理的网络入侵检测系统.计算机工程与设计.2006

[3]陈云芳，王汝传.基于免疫学的入侵检测系统一般模型.南京邮电大学.2006

[4]Forrest S, Perelson S. Self-nonself discrimination in a computer. In Proceedings of the IEEE Symposium on Research in Security and Privacy. pp.202-212,1994.

[5]朱永宣，单 莘，郭 军.基于免疫算法的入侵检测系统特征选择.微电子学与计算机.2007

[6]丁冠华，闫 军，王晓然.基于人工免疫的入侵检测系统.计算机与信息技术.2006

入侵检测系统研究 篇4

一、入侵检测系统的概念

入侵检测是通过对计算机网络或计算机系统中的若干个关键点收集信息并对其进行分析, 从而发现来自外部的入侵行为和监督内部用户的未授权活动。进行入侵检测的软件和硬件的组合就是入侵检测系统 (ID S, Intrusion D etection System) 。入侵检测被认为是防火墙后第二道安全闸门, 已成为网络安全体系中一个重要组成部分。总的来说, 入侵检测的功能有:监视并分析用户的活动, 系统构造变化和弱点的审计, 识别已知攻击的活动模式并报警, 异常行为模式的统计分析, 评估重要系统和数据的完整性, 操作系统的审计跟踪管理。

二、入侵检测系统的模型

为了解决不同ID S的互操作性和共存性, Com m on Intrusion D etection Fram ework (CID F) 组织提出了一个入侵检测系统的通用模型, 目前在商业上应用比较广泛。它将一个ID S分为事件产生器 (Eventgenerations) 、事件分析器 (Eventanalyzers) 、响应单元 (R esponse units) 、事件数据库 (Eventdatabases) 4个组件。

CID F将ID S需要分析的数据统称为事件, 它可以是网络中的数据包、系统日志、审计记录等信息。事件产生器的功能是从整个计算环境中获得事件, 并向系统的其他组件提供此事件。事件分析器分析所得到的数据, 并产生分析结果。响应单元则是对分析结果作出反应的功能单元, 它可能是切断连接、改变文件属性等强烈反应, 或只是简单的报警。事件数据库是存放各种中间和最终数据的地方的总称, 可以是复杂的数据库, 也可以是简单的文本文件。CID F模型试图用统一的模块划分ID S, 同时采用统一的入侵描述语言描述ID S之间及其各个部件之间的入侵信息交换, 以实现在不同ID S之间进行有效的协同工作。

三、入侵检测系统的分类

目前ID S主要是通过在信息源中寻找代表恶意或可疑攻击意图的“攻击模式”来辨认并躲避攻击。ID S在网络中寻找攻击模式, 则是基于网络的;在记录文件中寻找这些模式, 则是基于主机的。因此根据信息源的不同, 可以将入侵检测系统分类为基于主机的ID S、基于网络的ID S和混合的ID S。

(一) 基于主机的ID S

通过监视和分析主机的审计记录以达到入侵检测的目的。主要在分布式、加密、交换的环境中监控系统、事件和W indowsN T下的安全记录以及U N IX环境下的系统记录, 以准确地判断攻击是否发生。当有文件发生变化时, ID S将新的记录条目与攻击模式相比较, 如果两者匹配, ID S就报警并启动监控处理机制以采取安全防范措施。基于主机的ID S的缺点在于与具体的操作系统平台有关, 很难检测来自网络的入侵, 占有一定的系统资源。早期的ID S主要是基于主机的, 比较著名的有SR I的ID ES, A T&A的Com puterW atch等。

(二) 基于网络的ID S

这类ID S使用原始网络数据包作为数据源, 通常利用一个运行在随机模式下的网络适配器来实时监视并分析通过网络的所有通信业务, 不需要主机提供严格的审计, 几乎不占用主机资源, 并可以提供对网络通用的保护而无需顾及异构主机的不同架构。目前典型的基于网络的ID S有开放源代码Snort, ISS的R eal Secure, Cisco的N et R anger等。

(三) 混合入侵检测系统

基于网络和基于主机的ID S都有各自的优势, 能够发现对方无法检测到的入侵行为。如从服务器的键盘发出的攻击并不经过网络, 因此就不能使用基于网络的ID S检测到, 只能由基于主机的ID S来检测。联合使用这2种ID S能够达到更好的检测效果。比如在确定攻击是否已经取得成功这方面, 可以使用基于网络的ID S提供早期报警, 同时使用基于主机的ID S验证攻击是否取得成功。这2类ID S有效地集成应用并部署在网络内, 则可构架一套完整的主动防御体系, 既可发现网络中的攻击信息, 也可从系统记录中发现异常情况, 从而弥补基于主机和基于网络的ID S的片面性缺陷。

四、入侵检测系统的入侵检测技术

(一) 入侵检测技术分类

从技术上看, 入侵可以分为2类:一种是有特征的攻击, 即对已知系统存在的系统弱点进行常规性的攻击;另一种是异常攻击。与此对应, 入侵检测也分为特征检测和异常检测2类。

1. 特征检测

首先定义一个入侵特征模式库, 即定义违背安全策略事件的特征, 如网络数据包的某些信息。检测时主要判别这些特征是否出现在所收集到的数据中。目前的ID S大部分都采用这种检测技术, 能够准确地检测出已知的入侵行为, 前提是这些已知入侵行为的特征必须包含在入侵特征模式库中。但对于已知入侵行为的变种或新的入侵行为, 特征检测技术却无能为力。

2. 异常检测

先定义一组系统正常运行状态的数据, 如CPU利用率、内存利用率、文件校验和等, 然后将系统运行时的数据与所定义的正常状态进行比较, 确认是否有被攻击的迹象。异常检测不能准确判断出攻击的方法, 但可以判别更广泛的、甚至是新的攻击行为, 其核心在于如何定义所谓的正常运行状态。

(二) 常用的入侵检测方法

1. 专家系统

早期的ID S多采用这种方法, 针对有特征的入侵行为, 负责解释系统的审计记录并确认他们是否满足描述的入侵行为的规则。入侵行为的特征抽取与表达, 是专家系统的关键。实现时将有关入侵的规则转化为if-then结构, if部分为入侵特征, then部分是系统防范措施。专家系统防范有特征入侵行为的有效性完全取决于其规则的完备性。缺点在于:表示入侵特征的规则不太直观, 并且更新比较困难, 需专业人员维护规则的更新。

2. 统计分析

建立一个统计特征轮廓, 通常有主体 (用户、文件、设备等) 特征变量的频度、均值、方差、被监控行为的属性变量的统计概率分布以及偏差等统计量来描述。典型的系统主体特征有:系统登录与注销时间、资源被占用的时间以及处理机、内存和外设的使用情况等。优点是可以检测未知的入侵行为, 缺点是误报、漏报率高。

3. 神经网络

利用神经网络技术进行入侵检测。这种方法对用户行为具有学习和自适应功能, 能够根据实际检测到的信息有效地加以处理, 并做出入侵可能性的判断。该方法目前还不成熟, 没有出现较为完善的产品, 有待于进一步的研究。

4. 模型推理

根据入侵者在入侵时所执行的某些行为程序的特征, 建立一种入侵行为模型, 根据这种行为模型所代表的入侵意图的行为特征来判断用户执行的操作是否属于入侵行为。当然, 这种方法也是建立在对当前已知的入侵行为程序的基础之上, 对未知的入侵方法所执行的行为程序的模型识别需要进一步学习和扩展。

五、入侵检测系统的发展趋势

随着攻击手段向分布式方向发展, 且采用了各种数据处理技术, 其破坏性和隐蔽性也越来越强。现有的ID S已不能满足入侵检测的需要, 主要表现在:ID S的体系结构不能满足分布、开放等应用要求;在高速交换网络中, ID S不能检测到所有的数据包, 分析的准确率不高, 经常产生漏报;攻击特征库的更新不及时, 检测规则的更新总是落后于攻击手段的更新;检测方法单一, 攻击方法越来越复杂, 难以发现某些攻击, 如拒绝服务攻击;ID S之间缺乏互操作性, 不能交互信息, 使得发现攻击时难以找到攻击的源头, 甚至给入侵者制造了攻击的漏洞;ID S不能很好地与其他安全产品协作。

针对攻击手段和技术的发展变化, 以及ID S的应用需求, ID S的发展趋势主要体现在以下3个方面。

(一) 分布式入侵检测

一是针对分布式网络攻击的检测方法;二是使用分布式的方法来检测分布式的攻击, 其中的关键技术为检测信息的协同处理与入侵攻击的全局信息的提取。分布式ID S在数据收集、入侵分析和自动响应方面能够最大限度地发挥系统资源的优势, 其设计模型具有很大的灵活性。

(二) 智能化入侵检测

使用智能化的方法与手段来进行入侵检测。所谓的智能化方法, 现阶段常用的有神经网络、遗传算法、模糊技术、免疫原理等, 这些方法常用于入侵特征的辨识与泛化。

(三) 与网络安全技术相结合

结合网络管理、防火墙、加密通道、安全电子交易等新的网络安全与电子商务技术, 提供完整的网络安全保障, 以构建集成化的入侵检测、网络管理、网络监控于一体的安全防护平台。

六、结束语

入侵检测系统可以有效地弥补防火墙的不足和缺陷, 已成为网络安全体系的一个重要组成部分, 这是不容置疑的事实。尽管目前ID S还存在着许多技术问题有待攻克, 但正如攻击技术不断发展一样, 入侵检测也会不断发展、成熟。

参考文献

[1]赵玉娟.浅谈入侵检测技术[J].郑州工业高等专科学校学报, 2003.

[2]喻剑平, 阎巧.入侵检测系统的研究和发展方向[J].信息安全与通信保密, 2001.

[3]刘海锋, 卿斯汉.一种基于审计的入侵检测模型及其实现机制[J].电子学报, 2002.

超导磁储能系统性能检测方法研究 篇5

目前,我国已有多台超导磁储能系统样机研制成功并通过了实验验证,考虑到超导磁储能系统与系统联网后对系统稳定性和安全性产生的影响,对其试验、检测方法及其主要设备进行研究是十分必要的..从超导磁储能系统的电磁特性出发,对超导磁体、变流器和功率调节特性这三个方面总结了超导磁储能系统的试验、检测项目,重点介绍了超导磁体的特性试验,并归纳了超导磁储能系统的试验方法及其主要设备.

作 者：任丽 唐跃进 胡毅 石晶 黄劲 蔡伟 陈轩恕 李敬东 Ren Li Tang Yueji Hu Yi Shi Jing Huang Jin Cai Wei Chen Xuanshu Li Jingdong 作者单位：任丽,唐跃进,石晶,黄劲,李敬东,Ren Li,Tang Yueji,Shi Jing,Huang Jin,Li Jingdong(华中科技大学超导电力科学研究与发展中心)

胡毅,蔡伟,陈轩恕,Hu Yi,Cai Wei,Chen Xuanshu(国网武汉高压研究院,武汉,430074)

入侵检测系统研究 篇6

关键词：移动代理技术；入侵检测；系统；分析研究

计算机和网络技术已经走进了我们日常的生活，包括工作、娱乐、社区、交通和通信，都需要依赖计算机和网络。网络给我们带来了巨大的便利，同时也由于我们过分的依赖于网络，我们也越来越感觉到网络带来的负面影响。信息网络必须要有足够的安全措施，才能确保网络信息的保密性、完整性和安全性。

一、移动代理系统的分类

（一）移动代理环境（MAE）。移动代理运行环境可以提供安全，正确的运行环境，实现移动代理的移动、执行状态的建立、启动、实施的约束机制、容错策略、安全控制、通信机制，并提供基本服务模块。它一般建立在操作系统之上，为MA提供运行的环境。MA只能存活在MAE中的软件实体。

（二）移动代理。移动代理的移动就是从一个移动代理运行环境移动到另一个移动代理运行环境。一般而言，移动代理要具有如下的特征：

1.代理模型。代理模型主要代理的是智能部分的内部结构，它包括有一些特性，如代理的自治、学习、协调、写作、反应和预动等特性。当然，从研究人员的角度出发，他们关心的还是代理移动的框架，所以我们现在关注的还主要是和代理的自治性有关的情况。

2.计算模型。计算模型是从运行方式考虑，如MA是编译运行还是解释运行，是通过线程方式还是以进程方式生存于运行环境中等。所以说它决定代理是以通信还是以移动的方式来完成任务，从而达到最佳的运行效果。

3.安全模型。它本身是一个开放的系统，MAE既有可能接受不信任的移动代理，也有可能到不信任的MAE中去执行，因此，就要从安全性方面去考虑。移动代理的安全模型主要是用于如何保证代理的完整性，防止它携带的数据泄露，代理和服务器的相互验证以及代理的授权和服务器的资源存取控制策略等。

4.通信模型。它存在于分布式应用中，主要用于用户、静态代理、其他移动代理、其他移动代理系统甚至是其他非移动代理系统等实体。为了实现它特定的功能，就需要具备与这些实体通信的能力，特别是需要具有协商、协作、解决问题的能力，促进代理间的通信手段必须方便灵活，这是通信模型所必须解决的。

5.迁移模型。他解决的的主要是代理如何移动的问题，从三个方面来说：一是代理要移动是怎样刮起代理、俘获代理的运行状态并把代码及有关数据打包；二是以什么方式把代码传送到目的地；三是如何让接受代理并恢复代理的运行。

除此之外，还有命名和定位模型、服务定位模型等特征。例如，移动代理系统会产生很多不同的主机，他们的目的往往都是不同的，所以就需要有命名和定位，从而保证代理名字的唯一和方便查找等功能。还有需要满足服务的手段，当本地服务不能满足时，需要及时提供所需的服务站点，便于前往该地提供良好的服务等。从这些方面，我们就能发现移动代理系统有很多优越性，值得我们研究和分析。

二、将移动代理与入侵检测结合的原因

基于Agent的分布式入侵检测系统可将多种入侵检测分别装载在不同的Agent中，并动态地让这些Agent分布到整个网络上，通过这些Agent的交互、协作完成对网络内外入侵检测。Agent是独立运行的实体，能够在不改变系统别的组件的情况下进行增减。另外，Agent可以在引入更复杂环境之前进行独立测试，Agent也可以与其他Agent协作，通过交换信息，帮助提供更复杂的检测结果，Agent可相互独立地启动和停止，减少检测系统的单点失效。具体而言，基于Agent的入侵检测系统可以获得如下优点。

1.独立性，它是个可以独立运行的实体程序，自己进行开发和调试。把它放入具体的环境中，可以进行独立测试。

2.灵活性，在操作中可以独立启动和停止，也可以进行动态配置，不会影响其他方面的正常运行。即使要收集新数据或检测新类型的入侵，也可以对原Agent进行重新配置或增加新Agent来实现。

3.可扩充性，在操作简单的基础上，它可以作为检测实体独立运行，同时也可以放入分布式的环境中作为一个零部件帮助协作检测，这也是它非常明显的一个优点。

4.错误扩散小，从整体上说，该软件系统本身的错误不会影响其它方面的运行。如果系统某个方面出现问题或者受到损坏，它仅仅会影响相关的检测部分失效，并且快速的检测到它的状态，并作出相应处理，使危害面限制到最小化。

5.数据来源不受限制，因为它本身具有独立性，不受其他方面的影响，所以系统可以选择不同的数据源。通过不同的数据源来选择相应的形式，这也是它非常明显的一个优点。

6.兼容性，它不同于传统的入侵检测模型，它既有主机的Agent，又有基于网络的Agent。在入侵检测的过程中，检测方法上不受限制，所以具有非常强的兼容性，只要是有效的入侵检测方法都可以加入到模型中来。

此外，还有它的协作性和语言特征也是其很大的优点。虽然在操作上它比其他软件系统更加简便，但是通过彼此协作，它可以进行更加复杂的入侵检测。因为它的独立性，他可以自行开发和调试，在不同的平台上使用不同的编程语言开发，更值得关注的是，只要遵循统一的通讯协议和通信格式，它们之间就可以进行通信协作。

结语

在未来的生活中，我们会遇到很多网络入侵攻击的情况，网络安全也成为严重的隐患，所以我们要更加关注保护网络使用者安全装置的软件系统中来，用更为精巧的控制技术和攻击同步化技术来帮助使用者防御网络入侵攻击。作为计算机专业的研究人员，我们不仅要明确网络带来生活便利的同时也带来了安全的隐患。因此研究高效的网络安全防护和检测技术，帮助专业人员了解新的入侵检测系统的性能，对于开发研究新的网络安全监测系统具有重要的意义。

参考文献：

[1]熊伟.入侵检测系统的研究与实现[D]武汉：武汉科技大学，2006

[2]韩东海，王超，李群.入侵检测系统及实例剖析[M].北京：清华大学出版社，2002

Solaris系统入侵检测研究 篇7

随着网络技术的发展,计算机的应用已深入到科研、文化、经济与国防的各个领域,各个高校、企业建立了自己的局域网,并架设了自己的服务器。安全问题也随之成为一个重要话题。目前,服务器市场存在多种专业的操作系统,其中Unix系统是常用操作系统之一。本文将以河南工程学院网络中心Solaris服务器(Sun公司Unix操作系统)为例,阐述如何进行系统入侵检测,提高系统的安全级别。

1 常见的入侵方法

常见的入侵方法有以下几种:

(1)物理入侵

入侵者以物理方式对主机进行破坏,譬如潜入主机房尝试登录系统、用暴力拆卸机器取走硬盘或存储设备,然后再进行解密。

(2)系统入侵

入侵者以低权限的用户尝试访问高权限用户的资源。通过系统漏洞,以溢出等手法提高自己的权限,从而达到控制服务器。

(3)远程入侵

入侵者通过专用工具对入侵对象进行端口扫描或漏洞扫描等技术,发现服务器漏洞,从而入侵系统。

当入侵者入侵系统后,往往会采用以下手段,达到控制服务器的目的:

(1)创建高权限账户:通过创建高权限账户,就可以拥有绝对的系统控制权。

(2)植入木马软件:通过修改系统文件、系统守护进程,从而使木马达到隐蔽、随机运行等目的,这种方法难以发现。

2 Solaris系统入侵检测方法

2.1 系统密码文件安全检测

Solaris系统密码存放于/etc/passwd文件中,因此首先使用ls–l/etc/passwd查看文件的修改日期,然后使用awk-F:’$3==0{print$1}’命令检查该文件中有那些特权用户,即以列表的形式列出uid为0的用户。最后,使用awk–F:‘length($2)==0{print$1}’/etc/shadow检测系统中是否有空口令账户。

2.2 系统进程检测

进程是指在系统中正在运行的一个应用程序,当你运行一个程序,你就启动了一个进程。当入侵者侵入系统后,往往会安装木马软件,该软件会随机启动、并常驻内存,以接受入侵者指令。

在Shell命令中输入ps–aef|grep inetd命令检测系统进程。inetd是Solaris系统的守护进程,如果有inetd启动了某个文件,就说明可能有人入侵了你的系统。一旦发现了异样的进程,经检测为入侵者留下的后门程序,运行kill-9 pid杀死该进程,然后find命令找到该木马文件的存放位置,清除木马文件。

2.3 系统守护进程检测

Solaris服务器在启动时需要启动很多系统服务,它们向本地和网络用户提供了Solaris的系统功能接口,直接面向应用程序和用户。提供这些服务的程序是由运行在后台的守护进程(daemons)来执行的。守护进程是生存期长的一种进程,它们独立于控制终端并且周期性的执行某种任务或等待处理某些发生的事件。

Solaris守护进程配置文件存储于/etc/inetd.conf文件中,在shell中输入命令cat/etc/inetd.conf|grep–v“^#”,检测服务器开启的所有远程服务,避免入侵者通过替换该配置文件配置参数来创建后门。

2.4 网络连接、端口检测

(1)在Shell中输入ifconfig–a命令,检查服务器网卡基本配置。

(2)在Shell中输入netstat–rn命令,检查服务器路由、网关参数配置是否正确。

(3)在Shell中输入netstat–an命令,列出本机所有的监听端口及客户端连接,检测是否有非法连接。

2.5 系统日志检测

系统日志主要用来记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查系统错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。

在Solaris系统中,常使用命令last|more查看在正常情况下登录到本机的所有用户的历史记录。但last命令依赖于syslog进程,Syslog进程是以root身份执行的,该进程是入侵者攻击的重要目标,入侵者通常会停止系统的syslog进程。因此,应首先检测系统syslog进程的运行情况,检测syslog进程上次启动的时间是否正常。

Solaris服务器中,主要syslog和其它大多数日志文件都写入/var/adm目录中的文件,使用ls-al/var/adm命令来对日志进行检测。

2.6 系统文件完整性检测

(1)通过ls–l命令进行文件名的查询和比较,该方法简单。

(2)对系统文件进行MD5码验证。Solaris系统中可以使用md5sum命令,在shell中输入命令:md5sum文件名,检查该文件的md5签名。它的使用格式如下:md5sum-b使用二进制方式阅读文件;md5sum-c逆向检查MD5签名;md5sum-t使用文本方式阅读文件。

(3)删除setuid文件,任何用户登录系统后运行此类文件都可以获得一个rootshell,使用命令find-perm 4000-print对此类文件进行全局查找,然后删除此类文件。

(4)使用专业的文件检测工具进行检测。Labrador是一款可以跨平台使用的文件/数据完整性验证系统,也是一套简单易用的基于主机的入侵检测系统(HIDS)。Labrador可以精确的鉴别出系统中哪些文件或数据被非法改动,以便于系统管理员及时地发现问题,恢复系统中的重要文件。

2.7 系统内核级检测

Solaris系统启动时加载的模块比较多,使用modinfo命令列出所有加载模块信息,然后逐条进行分析,该过程对系统管理员要求较高,需要具有丰富的管理经验。分析完,应当对内核进行加固,禁止插入或删除模块,从而保护系统的安全,否则入侵者将有可能对系统调用进行替换。对系统加固的过程一般应在服务器搭建完毕进行,最大限度的减少入侵的风险。

2.8 使用专业的入侵检测系统

入侵检测系统(IDS),主要用来发现是否有人正在侵入或者试图侵入你的服务器。Unix系统下最著名的IDS是Snort,Snort是一个开放源码的网络入侵检测系统(NIDS),可以免费获得。IDS迄今为止还是一门相当新的技术,而Snort在IDS中处于领先的地位。利用入侵监测系统收集的信息,我们可以加固自己的系统,提高服务器的安全性。

3 结语

Solaris是一个比较安全的平台,但是从服务器安全的角度看没有绝对安全的平台。文中主要从Solaris服务器存在问题入手阐述了Solaris服务器的安全隐患,并从8个方面对Solaris系统入侵检测进行了阐述,对Solaris服务器安全有着一定的参考价值。

参考文献

[1]陈远,周朴雄.Linux下主机入侵检测系统的研究[J].计算机系统应用.2002.

[2]陈恳.浅析Unix系统的安全问题[J].黑龙江科技信息.2011.

[3]王景中,陈骏铭.基于Snort的网络安全管理平台入侵检测技术研究[J].北方工业大学学报.2008.

Snort入侵检测系统算法研究 篇8

模式匹配是指:设有给定的两个串T和P, 长度为n的文本字符串T=T[1]T[2]……T[n], 长度为m (m<

我们在AC-BM算法中引入反向有限自动机, 让搜索从正向和反向同时进行, 可以使检测时间减少到一半。

1. 算法简介

AC-BM算法是在AC算法的基础上, 结合BM算法的跳跃思想, 产生的一种组合算法。AC-BM算法包括三个主要部分:为给定的模式串集合构造一个AC自动机;计算给定字符串集合的移位函数;利用AC自动机和移位函数扫描对象文本串。其匹配过程如下:

(1) 用要查找的多个模式串集合构建一个模式树, 模式树构建是基于字符串的前缀而不是后缀, 相同的前缀作为树的根节点, 用模式树中最短的模式串右端的字符P[m]和文本串的最右字符T[n]对齐。

(2) 匹配时采取自后向前的搜索方法。字符的比较是从左至右进行的 (从模式树的根字符开始向节点方向按层逐个字符进行) 。比较之前需要进行预处理, 来减少大量不必要的比较。

(3) 模式树移动时同时使用坏字符和好后缀规则移动, 坏字符移动:当模式树中的字符与文本串的字符Q不匹配时, 将模式树移动到下一个Q出现的位置, 让模式树中的Q和文本串中的Q对应, 如果字符Q在模式树中不存在, 将模式树向左移动模式树的最小字符串长度。好后缀移动:当模式树中的字符与文本串中的字符Q不匹配时, 将模式树移动到模式树中最先与文本串部分匹配的下一位置。这里的部分匹配模式树中某字符串的字串, 特殊情况是字符串的后缀。在移动过程中一定要保证模式树的移动量不大于模式树中最短的模式串。

设有模式串集{BPMRERDO, BPMGYWRDO, BPMVJWRDO}, 要检查的文本串内容为DISHGLBRWOZ…BSJMVGLOPID, 先构建模式串集合的有限自动机, 然后将构建的有限自动机 (模式串集合中位数最少的模式串右端) 和文本串的右端对齐 (如图1中字符O (红色) 和字符D (红色) ) , 字符比较从有限自动机的根节点开始 (如图1中字符B (粉红色) ) , 字符B和字符M不匹配, 有限自动机的下一个M (蓝色) 出现在深度为3的位置, 根据坏字符跳跃, 有限自动机向左移动2个字符 (如图2所示) 。

2. 算法分析

AC-BM算法是AC算法和BM算法的组合, 它聚集了AC算法和BM的优点于一身, AC算法的优点是移动函数、失效函数和模式树的妙用。如果字符串集合中, 字符串的最小长度为minl, 字符组的最大长度为maxl, 要进行匹配正文长度为n, 则:时间复杂度在最优情况下为O (n/minl) , 在最坏情况下为O (n*maxl) 。

规则数与单位匹配时间、占用储存单元、单位预处理时间的变化关系是多模式匹配算法的测试项目。测试项目的结果表明AC—BM算法在上述3项测试中取得了很好的平衡性能。这正是新版的Snort中选用AC—BM算法的重要原因。

3. 算法改进

尽管AC-BM算法结合了AC算法和BM算法的所有优点, 但它对文本串的匹配比较总得从一端开始到另一端结束, 匹配比较速度还有提高的余地。我们应用正、反有限自动机对AC-BM算法进行改进, 得到比AC-BM算法更快的匹配算法。

3.1 反向有限自动机

反向有限自动机也是根据转移函数、失效函数和输出函数来构建。从模式串集的末尾开始, 也是设初始状态为0, 由当前状态和读到的下一个字符决定下一状态的边、节点、标签都和正向模式树一样的标注, 只是扫描模式串时是从模式串集得末尾开始, 反向有限自动机是根据构建模式树的方向来命名的。它的构建和正向自动机的构建基本上一样, 不同的是正向自动机是用前缀作为根节点, 反向自动机是用后缀作为根节点。

设模式串集{BPMRERDO, BPMGYWRDO, BPMVJWRDO}, 构建模式树过程:同样是用移动函数、失效函数和输出函数, 扫描模式串集合的顺序是从模式串的后面开始, 向前扫描。构造的反向有限自动机如图3, 由于书写的习惯, 这里排序是从左到右排序的。

模式匹配前对模式串集进行预处理, 构建反向有限自动机。用上面的反向模式树来模式匹配, 设要检查的文本串内容为DISHGLBRWOZ…BSJMVGLOPID, 匹配时把反向有限自动机中最短模式串最左字符P[1]和文本串的最左字符T[1]对齐, 匹配时采取从前向后移动模式树, 字符比较从模式树的右端开始进行, 即按P[m]P[m-1]…P[1]的次序进行比较。遇到不匹配的字符采用BM算法的坏字符规则和好后缀规则来移动反向模式树。匹配过程如图4。

模式匹配时 (如图4所示) , 字符B (红色) 和字符D (红色) 对齐, 字符比较从模式树的最右端点开始, 模式串字符O (粉红色) 和文本串字符R (粉红色) 不匹配, 模式串中下一出现字符R (鲜绿色) 为P[m-3]的位置, 即把反向模式树向右移动2个位置。使模式树中的字符R和文本串中的字符R对齐, 然后继续匹配。

3.2 反向自动机在AC-BM算法中的妙用

把上面介绍反向有限自动机和反向有限自动机的匹配方法加入到AC-BM算法中去, 和AC-BM算法结合起来, 既在AC-BM算法原来的基础上添加反向有限自动机从前向后移动模式树的模式匹配方法。在预处理时生成两个模式树, 一个正向模式树, 用来从后向前移动模式树匹配文本串, 另一个是反向模式树, 用来从前向后移动模式树匹配文本串, 从两端对文本串进行模式匹配, 这样大大减少模式匹配所需的时间, 对于同一文本串而言, 采用从两端进行模式匹配的时间比AC-BM算法进行模式匹配的时间减少一半。

设模式串集合{B P M R E R D O, B P M G Y W R D O, BPMVJWRDO}, 要检查的文本串内容为DISHGLBRWOZ…BSJMVGLOPID, 用AC-BM算法对文本串进行模式匹配, 同时把反向有限自动机的模式匹配方法引用进来对文本串进行模式匹配, 用反向自动机的最短字符串的最左字符B (粉红色) 和文本串最左字符D (粉红色) 对齐。用正向自动机中最短的模式串的最右边的字符O (红色) 和文本串的最后一个字符D (红色) 对齐, 如图6。

反向自动机和正向自动机与文本串进行字符比较都是从模式树的根节点开始的, 如图6中反向模式树的最右字符O (鲜绿色) 和文本串的字符R (鲜绿色) 开始比较, 但是字符O和字符R不匹配, 模式树中下一出现字符R (天蓝色) 的位置为P[3], 把反向模式树右移动2个位置;正向模式树的最左字符B (蓝色) 和文本串的字符M (蓝色) 开始比较, 字符B和字符M也不匹配, 模式树中下一出现M (天蓝色) 的位置为P[3], 将正向模式树左移动2个位置, 如图7所示。

上面从文本串前后同时进行模式匹配的方法就是改进的AC-BM算法。对于从前后同时进行模式匹配在什么地方匹配结束, 值得研究, 绝不是文本串的正中间, 也不是遍历匹配, 解决这个问题, 系统应该对匹配过的文本串字符角标作记载, 当反向自动机跳转到的字符角标比正向自动机跳转到的角标加上模式串集合中最长模式串位数大时结束匹配, 或者正向自动机跳转到的角标比反向自动机跳转到的字符角标减去模式串集合中最长模式串位数小时结束匹配 (设正跳转到的角标为N正, 反跳转到的角标为N反, 模式串集合中最长模式串长度为Lmax, 当N反>N正+L max, 或N正

作图来分析结束的位置。设文本串T{DISHGLBRWOZ…B P M G Y W R D O I D}的长度n, 模式串集合{B P M R E R D O BPMGYWRDO, BPMVJWRDO}中最长模式串的长度为m, O是反模式的树根节点, B是正模式树的跟节点。当反向模式树和正向模式树从两端向中间靠近, 总有某一次跳转会使反向模式树对应的文本串字符的下标大于正向模式树对应文本字符的下标。这里考虑一种特殊情况:当反向模式树的根节点对应文本串的下标等于正向模式树的根节点对应文本串的下标加最长模式串的长度m时。有能使最长模式串和文本串完全匹配的情况, 如图8中字符串“BPMGYWRDO”和文本串中子串“BPMGYWRDO”完全匹配。所以只有反向模式树根节点对应文本串下标大于正向模式串下标加最长模式串长度m时才能结束匹配。

4 测试结果

改进算法在效率上得到了很大提高, 但是预处理要生成两棵模式树, 需要的内存空间很大, 对同一文本串, 模式匹配的消耗时间将比AC-BM算法减少一半, 但此算法要比AC-BM算法多一个生成反向自动机的时间复杂度。我们在WinXP下使用VC6.0编译过的Snort2.0作为测试本算法的入侵检测系统, 使用规则为Snort2.0默认值, 测试机CPU为AMD5200+, 内存2G, 操作系统为WinXP。测试数据采用1999年美国高级研究计划局 (DARPA) 做IDS评估时所使用的数据集。测试结果如表1。

4.结束语

字符串匹配是入侵检测技术中的关键核心技术之一, 当前大部分入侵检测系统中采用最多的算法是AC-BM算法。我们在AC-BM算法中引入反向自动机, 使其检测可以从文本的两端同时进行, 大大提高匹配速度。为了使我们的思想描述清楚易懂, 文中采用了简洁的图例说明, 列举的事例也是一些常见的简单情况。其他情况会比这些特殊事例更复杂, 画的图也会更多、更繁琐。模式串集合也会更复杂, 构造的模式树也不上像上面的这样简单。在今后的研究中, 我们将继续对这些进入深层次的研究。

参考文献

[1]Aho A, Corasick M.Efficient string matching:An aid tobibliographic search[J].Communications of the ACM, 1975, 18 (6) :333-343.

[2]Jason C C, Staniford S, McAlemey J.Towards faster string forintrusion detection or exceeding the sped of snort[J/OL].http://www.silicondefense.com/sotfware/acbm/speed_of_snort_03_16_2001.padf, 2003-10-06.

[3]唐正军, 李建华.入侵检测技术[M].北京:清华大学出版社, 2004.

[4]王成, 刘金刚.一种改进的字符串匹配算法[J].计算机工程2006, 02:45-49.

[5]谭汉松, 彭诗力.一种新的快速多模式匹配算法[J].计算机工程, 2005, 18:32-36.

[6]万国根, 秦志光.改进的AC-BM字符串匹配算法[J].电子科技大学学报, 2006, 35 (04) :351-355.

基于免疫原理的入侵检测系统研究 篇9

1 入侵检测系统

根据数据分析方法不同，入侵检测系统可分为异常检测(anomaly detection)和误用检测(misuse detection)。

误用入侵检测通过预先定义入侵行为，然后监视系统的运行，找出符合的攻击行为。优点是可以准确检测到已知的攻击行为，误报率较低，却不能检测到未知的攻击。

基于异常的入侵检测是建立在如下假设的基础之上的：即任何一种入侵行为都能由于其偏离正常或所期望的用户活动规律而被检测出来。异常检测需首先建造一个正常系统行为的数据库，任何明显的偏离都被视为入侵。虽然基于异常的IDS能检测到新的攻击类型，但有较高的虚报率。

2 生物免疫系统

免疫系统能区分自身(“自我”)与外部(“非我”)的分子和细胞，并消灭后者。外部细胞被称为“抗原”，包括象细菌和病毒这样的入侵者。自适应的免疫系统被看作是身体里的分布式检测系统，该系统主要由淋巴器官和淋巴细胞组成。淋巴细胞在血液和淋巴系统里循环，如同可移动的独立的小检测器一样。免疫细胞的形成需要经历一个重要的阴性选择过程：对自身组织有反应排斥的细胞会凋亡，而那些对自身组织不起作用、但对来自体外的抗原起反应的免疫细胞会存活下来，每个淋巴细胞独特的受体使它能识别“自我”而绑定相关结构的“非我”细胞，绑定“非我”细胞达到一定阈值的淋巴细胞会进行克隆选择，达到激活阈值后，竞争成为记忆细胞。

3 人工免疫系统

3.1 问题定义

定义1特征空间U：特征空间U通过一维向量来表示，表示网络所有可能出现的事件集合。

定义2自我集合S:S∈U,表示网络上可接受或者合法的事件。

定义3非我集合：N:N∈U，表示网络上非法的事件ф。

定义4入侵检测：给定输入模式s属于S和判别规则R，确定s属于S或者属于N:

abnormalousif R'∈R激活

入侵检测可能产生两种错误：

定义5错误肯定FP(False Positive)：给定s∈S,但是f(s,R)=abnormalous。

定义6错误否定FN(False Negative);给定s∈N,但是f(s,R)=normal。

3.2 检测器

生物免疫系统包括多种的细胞和分子，它们以多种方式互相作用检测和消灭感染病原。在人工免疫系统里，我们仅用一种基本的检测器来模拟免疫系统中的所有淋巴细胞，该检测器综合了B细胞、T细胞和抗体的特性。人工免疫系统与生物免疫系统相似，具有成千上万的移动检测器，它们在分布式环境中不断循环。这个分布式的环境以一个图来模拟：G=(V,E)(V：节点集，E：边集)，每个顶点v∈V表示一个检测节点，该节点上有一组局部检测器集，检测器可以通过边从一个顶点移动到另一个相邻顶点。

淋巴细胞与病原体的绑定依赖于两者之间的化学结构和电荷，因此受体只能绑定一类结构相似的抗原决定基，这种绑定发生的可能性越大，受体和抗原决定基间的亲和度越高。用固定长度为l的二进制字符串来模拟受体及抗原决定基，绑定用r-连续位匹配规则来模拟。

r连续位规则：如果两个串在对应位有r连续位相同则匹配。r是一个阈值，决定了检测器的特异性，也是单个检测器能匹配的串子集大小(规模)的一个标志。若r=1，匹配是完全特异的，即检测器只能匹配一个串(它自己)，但如果r=0，匹配完全是一般化的，即检测器将匹配每个长度为l的串。

匹配不匹配

在这个例子中，检测器匹配r=3，但不匹配r=4。

部分匹配规则有阈值的结果是在可用的检测器数目和他们的特异性间达到平衡。随着检测器特异性的增加，需要的检测器的数目也随之增加。最佳的r是能达到最好区分效果所需的最少数目的检测器。

人工免疫系统使用阴性选择算法产生检测器，即系统随机产生的二进制字符串在容忍期T内保持为不成熟，与自我串进行匹配，如果匹配则被消灭，如果在容忍期内不匹配任何串就成为一个成熟的检测器。

3.3 记忆

生物免疫系统被称为自适应的是因为它能学习病原的特征结构，且“记住”这些结构，当下次再遇到相同的病原体时，再次响应非常迅速和有效。当多个检测器同时被一非我串s激活，它们竞争成为记忆检测器，那些在r连续位规则下与s最匹配的检测器将被选为记忆检测器。这些记忆检测器被赋予较低的激活阈值，使他们对这些串比较敏感。记忆检测器复制自己并传播到临近节点，因此，串s的描述被分布到整个网络中;因为匹配s的检测器存在于每一个节点中，一旦s再次出现,会迅速被检测到。

3.4 协同刺激

因为自我集的形成也是一个学习过程，自我集中的自我模式不可能是完备的，在进行阴性选择时可能有的自我未遇到，这样会发生自我免疫事件。这种情况在实际中不会发生是因为T细胞被激活需要协同刺激：除了绑定蛋白质(一次信号)外，T细胞必须有二次信号的协同刺激。二次信号通常是化学信号，当身体受到某种损害时才会发出。如果T细胞只收到一次信号而未收到二次信号会死亡，因此，那些绑定自我的T细胞在健康组织里会被消灭。

检测器在阴性选择时不可能遇到每一个s∈S，因此某些匹配自我串的检测器有可能成熟，这样会发生自我免疫事件。我们使用管理员模拟协同刺激中的二次信号。当检测器d被串s激活，发信号给管理员，在协同刺激延迟期限Ts内，如果管理员确定是非我，根据入侵情况进行响应;如果确定是自我，则不发信号。超过Ts，检测器d死亡。即错误肯定时，管理员不做响应。

3.5 检测器的生命周期

每个检测器的生命周期主要包括：生成阶段;成熟阶段(即否定选择阶段);参与免疫检测阶段;消亡阶段。利用伪随机序列发生器随机产生新的检测器，与生物免疫系统一样，这些新的检测器保持一段时间的不成熟状态，它们需要去匹配Self集中所有的样本字符串，只要一个检测器能与一个样本字符串相匹配，那么它将被“杀死”(删除)。只有那些不能与任何正常连接相匹配的检测器才能被保留下来。经过这个阶段存活下来的检测器就转变为一个成熟的检测器(处于未激活状态)，每个成熟的检测器独立活动且具有有限的生命周期。如果一个成熟的原始检测器一旦检测到异常，它就会被激活而产生报警，它将会升级为记忆检测器，当该检测器的生命周期结束时，检测器转变为未激活状态，并重新开始新的生命周期，这样延长了该检测器的生命周期。若一个成熟的原始检测器在其生命周期终结时处于未激活状态则将会被删除，并且系统动态的生成新的检测器来弥补被删除的检测器。图2列出了检测器的生命周期。

记忆检测器的生命是长期的，只有当缺乏协同刺激的时候才会死亡，这将最终导致所有的检测器都成为记忆检测器。解决的办法是限制记忆检测器的数量，如果已经达到极限md,而有新的检测器竞争成为记忆检测器，选择最近最少使用的记忆检测器降级为普通检测器。

4 应用

通过对Kim的网络入侵检测模型作出改进,并与实际网络入侵监测系统相结合,我们设计了一个基于免疫的网络入侵检测系统。

4.1 映射

我们选择监控网络流量，使用数据路径三元组(源IP，目的IP,TCP服务(端口))。我们仅监控TCP连接的开始，即监控TCP SYN包。

连接信息由49位串组成。自我是网络连接的正常发生集，假定在一段时间内频繁发生的连接是自我集的一部分。同样非我也是49位串描述。图3给出了人工免疫模型结构。每个内部计算机是一个检测节点，包含一个检测器集、一个局部敏感水平。每个检测器(包含一个二进制串)的状态可以是不成熟、成熟或是记忆，使用激活标志表示是否等待协同刺激，已经积累了多少匹配。

4.2 实验数据

自我集St:10天收集2万个TCP连接，过滤为1.5万条，最后从St中精简出2000个串，组成自我集St。

非我集Nt：由七种不同的入侵事件组成：地址探测AP、大规模端口扫描PS、三种有限地端口扫描LP、二种单个端口扫描SP。

实验中使用的的参数及其取值如表所示。

5 结束语

利用免疫原理进行入侵检测系统的研究有很高的应用价值。从生物免疫学的原理出发，对入侵检测实现方法作了介绍，重点分析了人工免疫入侵检测系统模型实现的机制，该模型可以同时进行误用检测和异常检测，使模型具有良好的自适应性和自学习能力。但是由于时间的局限性，本模型只考虑了数据包的源、目的地址，端口等基本特征的提取，在今后的研究中将会就数据包的其它特征进行进一步的研究。

参考文献

[1]Hofmey S,Forrest S.Architecture for an artificial immune system[J].Evolutionary Computation,2000,8(4):443-473.

[2]Kim J,Bentley P.An artificial immune model for network intrusion detection[C].7th European Conference on Intelligent Techniques andSoft Computing(EUFIT),Aachen,Germany,1999.

[3]Kim J,Bentley P.Towards an artificial immune system for network intrusion detection:an investigation of clonal selection with a negativeselection operator[C].//Proc Congress on Evolutionary Computation.Korea:Seoul,2001:27-30.

[4]Forrest S,Perelson A.Self-nonself discrimination in a computer.Research in Security and Privacy[J].Proeeedings IEEE Comprter SocietySymposium,1994.

[5]李涛.计算机免疫学[M].电子工业出版社,2004.

基于用户模型的入侵检测系统研究 篇10

随着互联网技术的日新月异的飞速发展, 互联网在人们的日常生活中扮演着必不可少的角色。但是在网络给社会带来方便的同时, 黑客的盛行、数据资源的窃取、越权访问等问题也凸显出来, 给经济社会带来不可忽视的严重后果。目前针对数据资源安全方面的防范机制, 在一定程度上可以抵御非法入侵行为。但随着入侵的方式越来越多, 传统的入侵检测安全机制在很大程度上无法满足迅速发展变化的入侵行为;另外更新过慢, 致使数据安全面临着很严峻的挑战。

入侵检测作为一种新的动态安全防御技术, 是继防火墙之后的第二道安全防线。入侵检测针对检测到的入侵行为采取对抗措施的行为, 是动态安全技术的最核心技术之一, 是安全防御体系的一个重要组成部分。

1 入侵检测系统体系结构分类及特点

依据检测系统的不同的数据来源, 把入侵检测系统分为以下三类:基于主机的入侵检测系统 (HIDS) 、基于网络的入侵检测系统 (NIDS) 和混合分布式入侵检测系统 (DIDS) 。

1.1 基于主机的入侵检测系统

基于主机的入侵检测系统:主要是通过监视与分析主机的审计记录检测入侵, 在所使用的主机上提取数据作为数据源, 进行分析检测入侵。其主要特点是可以针对不同操作系统的特点捕捉应用层入侵事件。

1.2 基于网络的入侵检测系统

基于网络的入侵检测系统:通过侦听共享网络段上采集通讯数据分析可疑的行为, 其数据源是网络上的数据包。优点是检测速度快、隐蔽性较好、视野相比基于主机的系统更宽。因它使用较少的检测器故对主机内存资源消耗很小, 且使用统一的网络协议进行网络交互, 这样就无需考虑主机是否属于同构架构。

1.3 混合分布式入侵检测系统

若想更好的检测入侵行为, 就必须把基于主机的入侵检测系统和基于网络的入侵检测系统更好的结合起来, 这就是所谓的混合分布式入侵检测系统。从不同的主机系统、网络部件或者通过网络监听等方式采集数据, 从而利用网络数据或者采集与主机系统的事件来检测违背安全策略的入侵行为。

2 入侵检测关键技术

入侵检测技术手段就目前而言, 主要分为两类, 一是实时的检测;二是事后分析。

2.1 模式匹配

模式匹配就是将收集到的操作行为与已知的网络入侵和系统误用模式数据库进行比较, 从而发现违背安全策略的行为。传统匹配算法技术成熟, 准确率高, 但存在两大缺陷:一是不能适应高速网络环境;二是丢包率高。

2.2 异常检测

异常检测, 也称基于行为的检测, 其基本前提是假定所有的入侵行为都是异常的。原理是首先建立系统或用户的“正常”行为特征轮廓, 通过比较当前的系统或用户的行为是否偏离正常的行为特征轮廓来判断是否发生了入侵。

统计分析是在异常入侵检测中用的最普遍的技术, 该方法中用一些称为统计分析检测点的统计变量刻画用户或系统的行为。统计方法的优点是它可以“学习”用户的使用习惯, 从而具有较高检出率与可用性。但是它的“学习”能力也给入侵者机会, 通过逐步“训练”使入侵事件符合正常操作的统计规律, 透过入侵检测系统。

2.3 完整性分析技术

整性分析主要关注某个文件或对象是否被更改, 这经常包括文件和目录的内容及属性, 它在发现被更改的应用程序方面特别有效。其优点是不管模式匹配方法和统计分析方法能否发现入侵, 只要是成功的攻击导致了文件或其它对象的任何改变, 它都能够发现。缺点是一般以批处理方式实现, 不用于实时响应, 用于事后分析。

3 用户行为建模

用户行为模型是根据用户行为进行分析整理, 挖掘出用户行为的特征, 并对提取到的用户行为建立相应的用户行为数据库来进行组织管理。库中数据就是所谓的用户行为的形式化的描述信息, 方便进行基于用户行为的入侵行为检测。构建用户行为模型的常用技术主要是在利用专门的监听软件, 通过监听用户的一些使用行为, 以及浏览的网络资源的记录, 然后从数据挖掘的角度可以分为基于规则的和基于统计的两种。基于规则的方法主要思想是预定义一些与用户行为相关的特征, 通过数据挖掘的手段, 挖掘出用户兴趣偏好, 并建立相应的数据库进行存储。基于统计的建模方式就是利用统计学的方法对用户行为进行处理得出入侵行为的一些统计学特征。

4 基于用户行为模型的入侵检测系统

基于对已有入侵检测系统和技术的研究, 本文采用混合分布式检测方式, 将基于主机和基于网络的系统有机地结合起来, 采用数据挖掘技术及数据建模技术实现基于用户行为模型的入侵检测系统, 尝试取两种检测系统架构的优点避其缺点来更好的满足检测需求。系统规则数据库会随着新的攻击类型和新的合法的使用模式的出现而自动增添新的规则, 并根据遗忘曲线的规律对规则库进行动态更新, 这样就提高了系统的扩展性和环境适应性。

基于用户行为模型的入侵检测系统的工作原理是利用监听软件提取用户在网络上对于共享数据的操作行为, 这些行为都属于符合安全策略的行为;运用数据建模技术对用户行为进行特征提取, 进而进行数据建模得到一个规则库;运用模式匹配技术来判断用户行为的合法性, 来决定是否允许此用户行为。规则库中具有自动更新功能, 根据遗忘曲线的规律对规则库进行动态更新, 这样就提高了系统的扩展性和环境适应性。

5 结论

本文融合了两种流行的入侵检测系统—基于网络的入侵检测系统和基于主机的入侵检测系统的优点, 在检测系统中加入用户行为模块, 通过对用户行为建模得出符合安全策略的用户行为规则库, 进而利用模式匹配方法对用户的操作行为进行安全性检测。通过加入规则库更新模块, 依据遗忘曲线规律对规则库进行更新来提高系统应对急速变化的入侵行为, 进而提高系统的检测速度。

参考文献

[1]Wenke Lee.A Data Mining Framework for Constructing Fea-tures and Models for Intrusion Detection Sysytems[D].PhD thesis, Columbia University.June1999.

[2]喻飞, 朱妙松, 朱淼良等.入侵检测系统中特征匹配的改进[J].计算机工程与应用, 2004, 39 (29) :32-35.

[3]李仁发, 李红, 喻飞等.入侵检测系统中负载均衡研究与仿真[J].系统仿真学报, 2004, 16 (7) :1444-1449.

[4]Li Zhitang, Yang Hongyun.A funzzy intrusion detection model[J].Computer Engineering&Science, 2000, 22 (2) :49-53.

[5]Karen Frederick著, 林琪译.入侵检测特征与分析[M].北京:中国电力出版社.2002.