（计算机软件与理论专业论文）分布式入侵防护系统及其关键技术研究.pdf

摘要 在网络应用范围越来越广，网络服务越来越便利的情况下，网络安全是人们不得 不面对的一个难题。网络中的各种资源和重要信息无时不受到各种不安全因素的威胁。 最近一次黑客的大规模的攻击行动中，雅虎、亚马逊、新闻网站c n n 等受到攻击。国 内的很多大企业、信息港等也发生了很多入侵攻击事件，造成系统服务中断，带来巨 大的损失。所以采取安全技术保护资源和信息的安全是网络应用和发展的需要。 入侵检测技术是网络安全中的重要环节，虽然发展的时间不是很长，但引起了广 泛的关注和重视。从数据源的角度，入侵检测技术分为基于网络和基于主机的检测； 从检测技术的角度，分为异常检测和误用检测。最早的检测主要是误用检测，但它对 未知攻击不具有检测能力，而且需要不断更新入侵签名。现在异常检测技术还很不成 熟，但它具有对未知攻击的检测能力，所以成为研究的热点。随着应用要求的发展， 对未知攻击、分布式攻击、高速网络等的检测要求越来越迫切，：格新的思想和理论结 合到入侵检测技术中是一个趋势。 本文主要是面对网络检测中的新要求，探讨新的入侵检测模型、异常检测技术和 主动响应机制的问题。考虑网络中数据量的增加和分布式攻击的情况，解决检测处理 能力、多个检测点信息交互、检测系统的容错能力等问题，成为检测技术发展的方向： 同时面对层出不穷的未知攻击，采用新的异常检测技术可以实现对未知攻击的检测； 为完善入侵检测系统，入侵检测的主动响应机制也是不可缺少的部分。 本文在以下几个方面进行了研究和探讨： h ，将输入空间的样本映射到高维的特征空间h 中。当 在特征空间h 中构造最优超平面时，训练算法仅使用空间中的点积，即妒( 膏，) ( x ，) ， 而没有单独的庐( x ，) 出现。因此，如果能够找到一个函数k 使得k 0 ，x ，) = ( x ) 积，) ， 这样，在高维空间实际上只需进行内积运算，而这种内积运算是可以用空间中的函数 实现的，我们甚至没有必要知道变换西的形式。根据泛函的有关理论，只要一种核函 数k ( x ，x ，) 满足m e r c e r 条件，它就对应某一变换空间中的内积。 因此，在最优分类面中采用适当的内积函数x ( x ，x ，) 就可以实现菜一种非线性变 换后的线性分类，丙计算复杂度却没有增加，此时目标函数( 2 ) 变为： q ( 口) = 口，一去口，口，y ，y ，置( ，_ ) ， ( 4 ) i - i ，一i 而相应的分类函数也变为： 山东师范大学硕士学位论文 ，( 力= s g n a j y ，k ( x ，z ) + ， ( 5 ) f i l 这就是支持向量机。显然，上面的方法在保证训练样本全部被正确分类，即经验 风险r 为0 的前提下，通过最大化分类间隔来获得最好的推广性能。如果希望在经 验风险和推广性能之间求得某种均衡，可以通过引入正的松弛因子喜来允许错误样本 的存在。这时，约束( 1 ) 变为： y 【( w x ，) + 6 】一1 + 最0 ，i 2 l ，” ( 6 ) 而在目标最小化去l l 叫l 中，加入惩罚项c 茧，这样，w b l f 对偶问题可以写成： - 拉l m a x q ( 口) = 一告口，y ，) ，k ( x i ，x j ) ( 7 ) s = l- ，j = t “ 雹y ，= 0 r _ 1 0s 口j c i 2 l ，” ( 8 ) 传统的c s v m 算法是有监督的机器学习算法，算法如上所述，能够处理的都是有 标定的数据。 2 核函数定义 在s v m 方法中，定义不同的内积函数，就可以实现多项式逼近、贝叶斯分类器、 径向基函数( r a d i a lb a s i cf u n c t i o n 或r b f ) 方法、多层感知器网络等许多现有学习算法。 因此，选择合适的核函数对于具体的应用非常重要。 在已有的基于s v m 的入侵检测中，采用的是r b f 核函数，取得了不错的检测效 果。非空数据集z 上的r b f 形核函数如下： 1 2 x ( x ，t ) ：e x p ( 一斗) ( 9 ) 盯 入侵检测中的数据集是异构数据集，即设入侵检测数据集x 上，每个数据置上共 有n 个属性，一表示数据集彳的第i 个数据值，矗标识一中的第j 个属性值，其中 x ，( j = 1 ，z ) 取值为连续值，x 。( ，= f ，n ) i r 值为离散值。 采用支持向量机对行为特征数据中的数据分类前，必须对行为特征数据进行处理， 使其适合支持向量机分类器进行分类。入侵检测的异构数据集上通常无法定义内积， 而s v m 算法是在输入空间为内积空间下导出来的，因此需要将异构数据集变换到一个 内积空间上。文献【4 3 】中，改进了r b f 核函数，采用一种计算异构集数据的h v d m 距 离作为核函数，利用距离函数推广了s v m 算法，获得了良好的分类效果核泛化能力。 本文对网络连接数据集具有的异构特点，参考文献【4 3 4 6 】，结合d r a n d a l lw i l s o n 提出的异构数据集上的i v d m ( i n t e r p o l a t e dv a l u ed i f f e r e n c em e t r i c ) 距离函数定义【4 7 】， 山东师范大学硕士学位论文 改进r b f 核函数从而适用s v m 算法。 ( 1 ) 距离定义 i v d m 距离函数是处理异构数据集的距离函数。其对离散和连续属性采用不同的 处理方式定义距离，用各个属性分量的异构欧式距离获得最终的距离。 定义l ：i v d m 距离 设z ，y x ，则x ，y 之间的i v d m 距离为 i v d m ( x ，_ y ) = i v d m 。( z 。，y 。) 2 ( 1 0 ) a n l 其中i v d m 。的定义如下： v d m 。( x ，_ y ) ， 如果第个属性是离散值； 肌加a2 1 芝1 只。( x ) 一只。( y ) l 2 ，如果第口个属性是连续值。 “ le = l 定义2 ：v d m ( v a j u ed i f f e r e n c em e t r i c ) v d m 距离是处理离散数据集的距离函数，设x ，y x ，x a , y 。分布为数据的第a 个离散属性，则此两个属性值间的定义如下： 砌。= 喜陪一瓦n a y c 1 2 ( 1 2 ) 其中，n 。为数据集x 上所有数据的第a 个属性取值为x a 的数据的个数：n o 。为 数据集x 上所有数据的第a 个属性取值为x 。且输出类别为c 的数据的个数：c 是数据 集的所有输出类别。 定义3 ：连续属性值间的距离用妻1 只。( x ) 一只。 ) f 2 表示，其中概率只。o ) 是连续数据 x 的第a 个属性且输出类别为c 的概率。其求解公式为 只司= “。+ ( r a 三t a ：j 三冬m 蒜i d p ( 。- 。一只。) a + l 一口h ( 1 3 ) 此处对连续值进行离散化，离散化的间隔为w i d t h a ，u 是x 中第a 个值离散化后对 应的序号，“= l ( x m i n 。) w i d t h a + 1 ，其中r a i n 。是连续值可取的最小值。式( 1 3 ) 中 m i d , 。是离散化的区域的中点，此区域的序号为“。只。是第a 个属性取值为x a 且输 出类别为c 的数据在序号的离散间隔中的概率。m i d 的取值公式为 m i d a 。= m i n 。+ w i d t h 。+ + o 5 ) 。 ( 2 ) 核函数 在此处，利用上面的距离函数来构造核函数。 由距离函数构造核函数，可将入侵检测中的异构非向量的数据集变换到一个内积 空间上。用i v d m 距离代r b f 核函数的范数，则将输入数据集映射到一个特征空间上， 山东师范大学硕士学位论文 b e r n h a r ds c h o l k o p f 的研究证明了此特征空间是满足s v m 计算的h i l b e r t 空间。 最终的核函数定义为：世( 。，) = e x p ( 一里坐! ! ；：兰型) ( 1 4 ) 盯 在入侵检测的数据集上采用此核函数进行s v m 分类，实现了对s v m 算法的推 广，i d v m 距离在d r a n d a l lw i l s o n 等研究中已经表现出良好的对异构数据集距离的 度量能力。 4 2 4 决策判定 s v m 的结果可以直接作为整个入侵检测系统的输出，但为了进一步提高整个系统 的准确率，我们对结果首先进行决策判定。 可以设定一些判决准则，例如发生数目、百分比等来进行最终的判定。之所以采 用决策判定，是因为在获得训练样本时，所得到的正常样本并不完备，导致在基于正 常样本上获得的异常行为特征中可能包含正常行为，从而使得支持向量机的分类器产 生一些分类错误；并且支持向量机分类器本身也具有不精确性，所以我们需要设定某 些判断规则来提高整个检测系统的性能。 这些规则主要有两种： 一种是根据异常行为特征的数目进行判断。首先我们选定一个阚值，然后对于给 定异常行为特征库中的异常行为特征进行判断，如果异常行为特征出现的数目超过阅 值，则判定为异常；反之，则判定为正常。 另一种规则是根据异常行为特征在整个异常行为特征库中所占的百分比进行判 断。该方法与第1 种方法相似，也需要选定阈值，统计异常行为特征所占的百分比。 如果百分比大于阈值，则判定为异常；反之则判定为正常。 采用以上两种简单、有效的方法，可以使判定结果更合理。为了判定一个新的异 常行为特征是否异常，使用第一种规则的判定算法如下： f = 0 ，m = f l ；m 为异常行为库中异常行为的数目： w h i l e ( t r u e ) 接收一个异常行为； r e p e a t f i - l i f ( 加入异常特征库的异常与异常只相同)p 为异常行为特征； 互+ + ；b r e a k ；，z 为异常行为特征p 出现的次数； i + + ；， u n t i li ；m ： i f ( m ) m = m + l ； ) 当经过设定时间t 后，如果z y ( y 是设定的阙值) ，则认为只是误报的将其从异 常行为库中抛弃；如果z ，y ，则认为p 为入侵行为，加上标识并保存。 山东师范大学硕士学位论文 此种判定规则对于时间t 的选择可以进行探讨，对于拒绝服务攻击应有好的效果， 对特征行为的维数选择将影响检测的效果。 4 3 提高检测准确率的方法 通过前面的分析，提高检测的准确率面临多个难题。即入侵检测数据集的异构性 问题、入侵数据的完整性问题以及检测算法的适应性、扩展性问题。 其中入侵数据的完整性是目前入侵检测准确率提供的关键，尽可能的多的获得完 整的数据是全面提供检测准确性的要求。不完整的数据的检测分析，是目前部分入侵 检测准确率低的首要原因，如对于分布式攻击，往往牵扯到很大的范围，如果再夹杂 一些其他复合攻击，那么情况就复杂了，单点的数据不足反映真实的情况。而且不完 整的数据也是很多检测算法的检测准确率低的原因，学习的样本不全，自然不能检测 全面。 数据集的异构问题给处理数据带来了难度，复杂的数据如何处理，并与合适的算 法结合，是目前很多研究努力解决的。在检测中对不同的攻击的检测，异构数据集的 维数的选择对最终的检测也是十分重要的。 所以，要提高检测的准确率，就要考虑这几个方面的问题。本节从异构数据集的 处理和基于s v m 的检测算法等方面进行了研究。 山东师范大学硕士学位论文 第五章主动响应机制研究 本章主要是对在第三章中未详细分析的响应机制做出进_ 步的探讨。本章中的5 1 节讨论了目前各种响应机制的现状。5 , 2 节主要是定义了响应的代价模型、响应策略的 内容，在此基础上提出了在分布式入侵防护系统中采用的基于策略的主动响应机制。 5 3 节中给出主动响应机制评价标准。 5 1 响应机制的现状 入侵检测系统的响应机制是对检测出的结果做出响应的方式。 通常响应机制是通过记录各种日恚文件、通知管理员、发出声光告警等方式实现 的。这样做可以满足对入侵的一般响应需要的，因为入侵活动是有其规律的，一般要 经过探测、收集资料、入侵、获取资源、提升控制权限、清理入侵痕迹并安装后门程 序，甚至做为跳板向其他系统发起攻击等基本过程。所以入侵一般是需要时间和资源 的，通过分析日志，在受到损失前发现入侵是可以满足要求的。但现在入侵和病毒的 发展，使的这样的响应机制不能完全满足要求，例如分析各种日志、发现入侵行为需 要专用知识，普通用户不可能很好地完成工作。 现在网络中的入侵工具非常丰富，很容易获得。入侵多是利用各种系统安全漏洞， 而现在发现的漏洞越来越多，并且还有很多是未知的。在网络环境中入侵的速度也更 迅速，可能带来的危害越来越大。而且还有一个趋势是入侵和病毒( 主要是蠕虫) 的 结合趋势，入侵如同病毒一样发现适合的环境就会迅速获取资源。 面对新的情况，用户不仅仅是希望不断的打漏洞补丁，被动的防御，而且希望有 更加有效的机制，提高入侵检测系统的实用性和可靠性，实现自动的响应。现在的自 动响应机制有以下两种形式：一是通过联动让网关和路由器等网络设备切断网络连接、 阻止会话：二是更主动的方式，采用可以对入侵行为进行跟踪和追查，自动获取入侵 证据，甚至主动反击等。 常用自动响应机制的问题是：攻击者可以轻易的直接绕过这些响应机制；甚至可 以利用这些机制实现阻断网络的目的。例如：对于防火墙联动的机制通过地址欺骗、 跳转等方式，造成防火墙错误的拒绝某些重要的地址，这将给使用者带来很大的影响。 另外，由于网络异常会向周围扩散，并产生其他异常，所以对于分布式的检测系 统将产生大量的告警。这些告警有很多存在相关性，如果不加以处理而直接响应，必 然会带来系统的开销增大，可用性降低。现在对于告警的关联处理可以采用多种方法， 如基于模型的推理、贝叶斯网络推理、过滤、人工神经网络推理等。 5 2 基于策略的主动响应 主动响应机制不同于自动响应机制。 自动响应机制是利用检测结果，按照一定的规则，由网络设备采取约定的动作 山东师范大学硕士学位论文 以响应检测结果。自动响应的优点是响应速度快、规则简单。但是如前所述，自动响 应简单的规则，容易被绕过，甚至被利用阻断网络服务，所以自动响应机制的应用应 当慎重。 所谓的主动响应机制是根据一定的策略，利用相关资源获取信息，并根据检测结 果，采取响应动作，并能恢复响应动作。同时对于分布式系统中的检测结果，具备关 联处理的能力。 通过检测结果可以直接做出响应，但在实际应用中简单的自动响应会带来一些对 网络服务的可用性的影响。例如关闭网络连接的响应动作，虽然可以保证系统的安全， 但同时正常的服务也无法提供，所以简单的以检测结果进行响应是不可靠的，应该考 虑系统代价和性能方面等因素。 5 2 1 性能代价模型 定义l ：性能代价是由三部分构成： 1 ) 检测性能代价：指由于检测使系统性能降低的比率数和检测所消耗的资源数量，记 为d p _ c o s t ( p _ c o s t ，dc o s t ) ； 2 ) 响应性能代价：指由于进行响应使系统性能降低的比率数和响应所消耗的资源数 量，记为r pc o s t ( pc o s t ，rc o s t ) ； 3 ) 损失性能代价：指损失的性能和损失代价，记为l p a _ _ c o s t ( p _ c o s t , ，l _ e o s t ) ，n = l 表示由于不采用响应时造成的损失，n = 2 表示采用某种响应后造成的损失( 例如关 闭网络连接) 。 给出性能代价后，不同性能代价的权重是不一样的，所以在建立的性能代价模型 中，确定权重也是十分重要的。 设各种性能代价的集合为p c = ( p c 。，p c 2 ，p c 。) ，定义代价权重向量为： c o = ( c 0 1 ，2 ，0 9 。) ，其中c o ，是p c 中p c ，对应的权重，r c o l + 2 + + 出。= la 权重的确 定一般是通过专家来指定的。 性能代价模型是通过比较没有响应和采取响应下的性能和代价，根据比较结果确 定响应策略的选择方式。 没有响应时的代价为n r c ： n r c = l p lx 媚一c o s t + c o d e d p c o s t 。 采取响应下的代价为r c ： r c = c o r n r p c o s + c o d p d p c o s t + c o l e 2 三马一c o s t 。 p r l 在条件+ r n + c o l 0 1 + 啦2 1 时，判决系数卢2 嵩赫，如果1 时，不做任 何响应；反之，若口 1 时，根据策略选择r c 最小的响应动作。 山东师范大学硕士学位论文 5 2 2 响应策略定义 响应动作指响应机制可以根据检测结果做出的响应操作，例如中断网络连接这个 操作。将响应动作分为三类： 第一类是基本响应动作，即任何入侵检测系统都应该具有的，包括记录日志、通 知管理员( 通过电子邮件、短信等方式) 等： 第二类是扩展响应动作，即为获得好的效用而采用的，包括中断网络连接、中断 会话、关联消息等； 第三类是专属响应动作，主要指某些专门要求所采用的响应动作，包括电子证据 收集( 网络犯罪领域中) 、网络追踪、网络攻击( 网络对抗领域中) 等。其中前两类是 在入侵检测系统中常用的，第三类响应动作是在有特殊要求的环境中使用，而且一般 代价比较高( 需要大量的资源和网络支持) 。 定义2 ：响应动作用向量表示，记为ra c t i o n r a c t i o n = ( a c t i o n n a m e ，a c t i o n l e v e l ，l p 2a c t i o n ) 。 定义3 ：响应策略用向量表示，记为rs t r a t e g y r s t r a t e g y = ( n u m b e r ，a c t i o n n a m e ，r c ，m e s s a g e i d ) 。当利用性能代价模型判断 要执行的响应策略后，从策略库中提取响应策略向量，获取响应所需的信息。 其中的m e s s a g ei d 是关联检测节点发送消息的标识号，用于关联处理。当前检测 节点发生响应时，将向物理和逻辑连接的节点发送m e s s a g e i d 。这些节点可以根据此 m e s s a g ei d ，在节点的策略库中提取响应策略，并判决是否执行。 5 2 3 恢复响应 对于错误的响应，采取恢复操作，达到降低损失、提高容错能力的目的。恢复机 制中，对采取的响应措施进行记录，当发生激励，启动恢复机制时，会按照记录反向 操作。 对于不能恢复的操作，可提供当前系统状态和执行前状态供管理员分析，同时停 止操作动作。 5 3 主动响应机制评价标准 通过分析实际的系统情况，制定系统的主动响应机制应该遵循以下原则： l 代价原则 即以最适当的代价实现最大的安全目标。 理想的响应系统对所有检测到的入侵行为都做出响应，但是从资源限制等实际情 况考虑，“不惜一切代价”的响应显然是不合理的。响应成本不能超过预计入侵带来的 损失。 山东师范大学硕士学位论文 2 时效原则 即适当的响应速度是关键。时效原则是和入侵速度、危害程度和响应代价等紧密 相关的，响应速度不是越快越好。通常过快的响应，往往带来服务性能的降低，而且 错误的响应的影响是巨大的。 3 纠错原则 即出现错误的响应后，应具备恢复、补偿能力减少错误的影响。 4 安全性原则 响应机制必须难于被欺骗和能够保护自身安全，同时要有强壮的体系结构和可伸 缩性。 山东师范大学硕士学位论文 第六章网络入侵防护系统设计及实现 网络入侵防护系统的设计和实现是在我们已经鉴定的项目基于a g e n t 技术的网 络资源开发研究中的入侵防护系统的基础上进行的。 本系统是一种基于网络的入侵检测系统，其中兼有误用检测和异常检测。能实时 捕获内外网之间传输的数据，利用内置的攻击特征库，使用模式匹配检测网络上发生 的入侵行为：使用统计分析的方法发现异常现象。 系统的响应单元采用了第五章提出的基于策略的主动相应机制，采用第一类响应 动作，可以发出实时报警，使得管理员能够及时采取应对措施。 6 1 系统结构 图6 1 网络系统结构 此系统的结构是分布式的，每个防护代理都是一个基于网络的入侵检测系统，可 以独立工作，同时如果需要，各个防护代理间可以交互信息，协同工作。 6 2 防护代理的设计 信息 图6 _ 2 网络入侵防护代理的模块圈 比较以前实现的入侵检测系统，对防护代理主要在异常检测部分进行了改进，采 用了第四章中的基于统计的检测方法，同时采用了基于s v m 的算法，改进了数据采集 后的预处理和网络行为生成部分。在响应单元增添了策略库和判决单元。 山东师范大学硕士学位论文 图6 - 2 是网络入侵防护代理的模块图。防护代理包括了数据采集、模式匹配、异 常检测、响应决策单元、各种数据存储单元和控制台等模块。 防护代理的实验环境为w i n d o w s 2 0 0 0 、v c + + 6 0 、w i n p c a p 3 0 l 等。系统的原始数 据采集是利用w i n p c a p 开发包实现的，其从局域网中抓取网络数据包。数据采集单元 把各种系统检测到的数据记录下来，便于以后的s q l 查询和分析。下面是数据采集和 日志界面。 图6 - 3 数据采集 6 3 与s n o r t 的比较 图6 - 4 日志 s n o r t 是一个开放源码的网络入侵检测系统，其实现了对网络的实时检测( 包括协 议分析、报文内容检测等) ，还可产生可疑报文日志。很多入侵检测系统的实现都是以 s n o r t 为基础的，我们的网络防护代理也是借鉴了s n o r t 的优点，实现了对网络原始数 据包的实时检测，采用了协议分析( 主要是i p 、t c p 、u d p 、i c m p 、h t t p 等i p 层、 传输层和部分应用层协议) 、分组重组、特征匹配等技术。同时和s n o r t 相比，我们的 系统还有自己的新特点。 表6 - 1 网络防护代理和s n o r t 功能结构比较 项目 网络防护代理 s n o r t 特征规则库有有 特征匹配、协议分析有有 采用基于策略的主动自动响应，记录可疑日 响应机制 响应机制志，机制简单 异常检测 基于统计的检测方法无 各个代理间可互通消 协同检测 息，具有协同工作的无 策略模型 6 4 技术特点 本网络入侵防护系统主要技术特点有： ( 1 ) 将基于误用的检测法和基于异常的统计分析法有机地结合在防护代理中， 山求师范大学硕士学位论文 ( 2 ) ( 3 ) ( 4 ) ( 5 ) 能实时检测，并实现统计检测功能，使其具有一定的对未知攻击和可疑活 动的检测能力。 实现中，在数据捕获后立对数据包进行协议分析，提高了系统的检测分析 能力。 系统采用了基于策略的响应机制，增强了响应的安全性。同时允许管理员 根据自己的需求，定制报警的方式、检测的内容等。 采用模块化设计结构，易于升级和维护。入侵检测引擎采用模块化的设计 结构，各功能模块担负着一定的作用。这种模块化设计易于引擎进行升级。 系统中的防护代理间可互通消息，具有协同工作的特点。 山东师范大学硕士学位论文 第七章结束语 7 1 本文研究的内容及意义 本文对入侵检测中分布式体系结构、入侵检测方法以及主动响应机制几个方面进 行了研究，最后设计和实现了网络防护系统中的防护代理。这些工作对于入侵检测研 究进行了有益的探索，对提供安全网络应用环境是十分有益的。 本文主要工作如下： ( 1 )对现有的入侵检测系统和技术进行了分析，找出现有入侵检测系统和技术 的不完善之处。 ( 2 )提出一种新的分布式网络防护系统的概念和模型，其采用分层、分布的结 构，兼有负载均衡的思想。 ( 3 )提出一种基于统计的检测方法，其中采用了基于支持向量机的入侵检测算 法，探讨了提高检测准确率的问题。 ( 4 )探讨了主动响应机制，提出了分布式网络防护系统中采用的基于策略的主 动响应机制。 ( 5 )给出网络防护系统的部分实现，主要设计、实现了防护代理，它可完成对 网络数据的误用检测和基于统计的异常检测。 7 2 进一步的工作 本文提出的分布式入侵防护系统采用采用分布式的结构，利用负载均衡的思想以 及移动代理技术等，提高了入侵检测的广度和系统的可靠性；基于统计的入侵检测方 法中采用的i d v m 距离和s v m 算法结合；基于策略的主动响应机制不同与以往的响 应机制，其安全陛和可靠性更高。但现在还面临很多问题需要在进一步的工作中解决a 进一步的工作包括： ( 1 )对于入侵检测学习算法的分析：目前入侵检测采用的学习算法的检测能力、 准确性等方面还有待提供，通过分析发现更适合的算法是非常有益的工作； ( 2 )入侵检测的数据融合问题：对于不同来源的数据，利用相互的关联实现数 据融合，是进一步分析的需要，这方面的工作还需努力； ( 3 )对入侵检测系统的评价模型：评价一个系统的优劣对于实际应用是非常重 要的，评价指标应包括：检测范围、系统资源占用、入侵检测系统自身的 可靠性等。建立通用的入侵检评价模型是十分有益的研究方向。 ( 4 )不同安全系统间的交互问题：网络中的安全系统非常多，它们间的交互和 合作是提高整个网络环境安全的要求； ( 5 )应用层的入侵检测问题：许多入侵的含义只有在应用层才能理解，而目前 的入侵检测系统仅能检测如w e b 之类的通用协议，而不能处理其他的应用 系统。对特定的应用层开发入侵检测系统，是未来入侵检测发展的方向。 山东师范大学硕士学位论文 参考文献 【1 】王健，姜楠，刘培玉，两种网络安全协议分析与比较，电视技术，2 0 0 3 ，1 0 ，8 2 8 5 ； 【2 】王健，姜楠，刘培玉，一种协同防护入侵检测系统研究，山东省计算机年会，2 0 0 4 ， 7 ，1 1 6 1 1 9 ： 【3 】姜楠，王健，电子政务中基于p k i 的角色授权管理，通信技术，2 0 0 3 ，9 ，8 4 - 8 5 ，1 0 3 ； 【4 】姜楠，王健编著，移动网络安全技术与应用，电子工业出版社，2 0 0 4 ，1 1 【5 】姜楠，王健，部署安全无线局域网，计算机安全，2 0 0 5 ，2 ，2 3 2 5 6 h o c h b e r g j ，j a c k s o n k ，s t a l l i n g s c e t a l n a d i r ：a na u t o m a t e ds y s t e mf o rd e t e c t i n g n e t w o r ki n t r u s i o na n dm i s u s e c o m p u t e r sa n ds e c u r i t y 1 9 9 3 ，1 2 ( 3 ) ：2 3 5 2 4 8 7 w h i t eg b ，f i s c hea ，p o o c huw c o o p e r a t i n gs e c u r i t ym a n a g e r s ：ap e e r - b a s e d i n t r u s i o nd e t e c t i o ns y s t e m i e e en e t w o r k ，1 9 9 6 ，1 0 ( 1 ) ：2 0 2 3 【8 f o r r e s ts ，h o f m e y rsa ，s o m a y a j ia 。c o m p u t e ri m m u n o l o g y 。c o m m u n i c a t i o n so f t h e a c m ，1 9 9 7 ，4 0 ( 1 0 ) ：8 8 9 6 9 h u n t e m a nw - a u t o m a t e di n f o r m a t i o ns y s t e ma l a r ms y s t e m i n ：p r o c e e d i n g so f t h e2 0 t n a t i o n a li n f o r m a t i o ns y s t e m ss e c u r i t yc o n f e r e n c e n a t i o n a li n s t i t u t eo fs t a n d a r d sa n d t e c h n o l o g y ， 1 9 9 7 1 0 p o r r a spa ， n e u m a n npge m e r a l d ：e v e n tm o n i t o r i n ge n a b l i n gr e s p o n s e st o a n o m a l o u sl i v ed i s t u r b a n t e s i n ：p r o c e e d i n g so ft h e2 0 t hn a t i o n a li n f o r m a t i o ns y s t e m s s e c u r i t yc o n f e r e n c e n a t i o n a li n s t i t u t eo fs t a n d a r d sa n dt e c h n o l o g y ， 19 9 7 111 j e r e m yf r a n k a r t i f i c i a li n t e l l i g e n c ea n di n t r u s i o nd e t e c t i o n ：c u r r e n ta n d f u t u r e d i r e c t i o n s i n ：p r o c1 7 t hn a t i o n a lc o m p u t e rs e c u r i t yc o n f e r e n c e ，b a l t i m o r e ，m d ，1 9 9 4 1 2 0 1 2 7 f 1 2 d e n n i n gde ， n e u m a n npgr e q u i r e m e n t sa n dm o d e lf o ri d e s ar e a l - t i m ei n t r u s i o n d e t e c t i o ne x p e r rs y s t e m ，c o m p u t e rs c i e n c el a b o r a t o r y ，s r ii n t e r n a t i o n a l ，m e n l o p a r k ， c a ：t e c h n i c a lr e p o r tt 0 1 ，1 9 8 5 【13 1 k u m a rs ， s p a f f o r de ap a t t e r nm a t c h i n gm o d e lf o rm i s u s ei n t r u s i o nd e t e c t i o n i n ： p r o c1 7 t hn a t i o n a lc o m p u t e rs e c u r i t yc o n f e r e n c eb a l t i m o r e ，m d ， 1 9 9 4 1 1 2 i 1 4 张勇，张德运，李胜磊，基于分布协作式代理的网络入侵检测技术的研究与实现， 计算机学报，v 0 1 2 4 n o 72 0 0 1 ：7 3 6 - - 7 4 1 【1 5 1 蒋建春，马恒太，任党恩，卿斯汉，网络安全入侵检测：研究综述，软件学报，2 0 0 0 ， v 0 1 i l ，n o 。1 1 ：1 4 6 0 - 1 4 6 6 1 6 h e a d yr ，l u g e rg ，m a c c a b ea ，e t a l 。t h ea r c h i t e c t u r eo f an e t w o r kl e v e li n t r u s i o n d e t e c t i o ns y s t e m t e c h n i c a lr e p o r t ，d e p a r t m e n to fc o m p u t e rs c i e n c e ， u n i v e r s i t yo f n e w m e x i c o ，l9 9 0 1 7 d o a k ，j u s t i n i n t r u s i o nd e t e c t i o n ：t h ea p p l i c a t i o no f f e a t u r es e l e c t i o n - - ac o m p a r i s o no f a l g o r i t h m s ，a n dt h ea p p l i c a t i o no f a w i d ea r e an e t w o r ka n a l y z e r m st h e s i s d e p a r t m e n t o f c o m p u t e rs c i e n c e u n i v e r s i t yo f c a l i f o r n i a ，d a v i s ， 1 9 9 2 1 8 b i a n ，z h a o - q i ，y a h ，p i n g - f a n ，y a n g ，c u n r o n g p a t t e mr e c o g n i t i o n a b e o i n g ： 1 b i n 吐u au n i v e m i t yp r e s s 。 1 9 8 8 1 9 l u n t ，t i f ，t a m a r u ，a ，g i l h a m ，f ，e t a l ar e a l = t i m ei n t r u s i o nd e t e c t i o ne x p e r t s v s t e m ( d e s ) t e c h n i c a lr e p o r t ， c o m p u t e rs c i e n c el a b o r a t o r y ， s r ii n t e r n a t i o n a l ， m e n l o p a r k ，c a l i f o m i a ，1 9 9 2 2 0 k u m a r 。 gc l a s s i f i c a t i o na n dd e t e c t i o no fc o m p u t e ri n t r u s i o n s p h d t h e s i s p u r d u e u n i v e r s i t y ， 1 9 9 5 f 2 1 1 h t t p ：w w w c s u c s b e d u k e m m n e t s t a = i i 旧o c u m e n t s h t m l 2 2 h e h u a e a n 。 i n t r o d u c t i o nt oa r t i f i e i a li n t e l l i g e n c e 。x i a l l ：n o r t h w e s t e r nu n i v e r s i t yo f t e c h n o l o g yp r e s s ， 19 8 8 f 2 3 冯东雷，张勇，自英彩，线速数据包输入处理技术，计算机研究与发展，v 0 1 3 9 ， n o 1 ：4 1 4 8 2 4 t h o m a sy cw o o am o d u l a ra p p r o a c ht op a c k e tc l a s s i f i c a t i o n ：a l g o r i t h m sa n dr e s u l t s i n ：i e e ei n f o c o m2 0 0 0 。d a np a n o r a m a ，i s r a e l ：i e e ec o m p u t e rs o c i e t y ，2 0 0 0 f 2 5 a n j af e l d m a r m ， s m u t h u k r i s h n a n t r a d e o f f sf o rp a c k e tc l a s s i f i c a t i o n i n ：e e i n f o c o m2 0 0 0 d a l lp a n o r a m a ，i s r a e l ：i e e ec o m p u t e rs o c i e t y ，2 0 0 0 【2 6 1vs r i n i v a s a n f a s ta n de 街c i e n ti n t e r n e tl o o k u p s p hdd i s s e r t a t i o n s t a r t f o r d u n i v e m i t y ， 1 9 9 9 【2 7 tv l a k s h m a n ，ds t i l i a d i s h i g h s p e e dp o l i c y - b a s e dp a c k e tf o r w a r d i n gu s i n ge f f i c i e n t m u l t i d i m e n s i o n a lr a n gm a t c h i n g i n ：a c ms i g c o m m1 9 9 8 v a n c o u v e r ，c a n a d a ：a c m p r e s s ，1 9 9 8 2 0 3 2 1 4 2 8 vs r i n i v a s a n ，gv a r g h e s e ，ss u r i e t a l 。f a s ta n ds c a l a b l el a y e r4s w i t c h i n g i n ：a c m s i g c o m m1 9 9 8 v a n c o u v e r ，c a n a d a ：a c mp r e s s ，1 9 9 8 1 9 l 2 0 2 f 2 9 p a n k a jg u p t a ， n i c km c k e o w n p a c k e tc l a s s i f i c a t i o no nm u l t i p l ef i e l d s i n ：a c m s i g c o m m1 9 9 9 a c mh a r v a r du n i v e r s i t y ，1 9 9 9 1 4 7 1 6 0 3 0 1 vs r i n i v a s a n ，gv a r g h e s e e t a l p a c k e tc l a s s i f i c a t i o nw i t ht u p l es p a c es e a r c h i n ：a c m s ! g c o m m1 9 9 0 a c mh a r v a r du n i v e r s i “。19 9 9 1 3 5 1 4 6 3 1 pg u p m ，nm c k e o w n c l a s s i l y i n gp a c k e t sw i t hh i e r a r c h i c a li n t e l l i g e n tc u t t i n g s i e e e m i c m ，2 0 0 0 ，2 0 ( 1 ) ：3 4 4 1 【3 2 b u d d h i k o t e t a l s p a c ed e c o m p o s i t i o nt e c h n i q u e sf o rf a s tl a y e r - 4s w i t c h i n g p r o t o c o lf o r h i g l ls p e e dn e t w o r k ，1 9 9 9 ，6 6 ( 6 ) ：2 7 7 2 8 3 【3 3 p a n k a jg u p m e m l n e a r - o p t i m a lr o u t i n gl o o k u p sw i t hb o u n d e dw o r s tc a s ep e r f o r m a n c e i n ：i e e ei n f o c o m2 0 0 0 w 酗h i n g t o n ：i e e ec o m p u t e rs o c i e t y ， 2 0 0 0 3 4 】c h r i s t o p h e rk r u e g e la n dt h o m a st o m a p p l y i n gm o b i l ea g e n tt e c h n o l o g yt oi n t r u s i o n d e t e c t i o n i ni c s ew o r k s h o pn s o f t w a r ee n g i n e e r i n ga n d m o b i l i t y ，c a n a d a ，m a y2 0 0 1 3 5 杨海松，李津生，洪佩琳，分布开放式的入侵检测与响应架构- - i d r a ，计算机 学报，、b l2 6