EFSA模型在入侵检测中的应用与研究.pdfVIP

ISSN 1O09-3044 E—mail：info@dnzs．net．cn Compu~rKnowledgeandTechnology电脑知识与技术 http：／／www．dnzs．net．en Vo1．11，No．1，January2015 Tel：+86—55l65690964 EFSA模型在入侵检测中的应用与研究 吴冬惠，杨印根，李成林，吴菲 (江西师范大学计算机信息工程学院，江西南昌330022) 摘要：为了提高入侵检测率，降低误检率，提出了一种基于状态协议分析技术的扩展有穷状态 自动机 (EFSA)A．侵检测模 型，该模型通过构建一个EFSA来描述攻击的状态转移和变化，EFSA模型可用一个六元组表示，即M=(P，Q，∑，W，qo，F)。通 过建立该模型，一方面将接受到的数据包映射为协议状态的转换从而建立有穷状态 自动机 ，根据被检测数据是否被 自动 机接受来判断攻击的存在。另一方面将待检测数据按协议分流，从而提升检测精度 ，减小模式匹配计算量，提高检测率。 实验选取KDDCUP99做测试数据集，经测试结果表明基于EFSA模型的入侵检测方法较之基于五元组 自动机检测模型具 有更好的检测率和更低的误检率。 关键词：EFSA模型；状态协议分析；模式匹配；误检率 中图分类号：TP393 文献标识码 ：A 文章编号：1009—3044(2015)01—0038—04 ApplicationandStudyofExtendedFiniteAutomataM odelinIntrusionDetection W U Dong—hui，YANG Yin—gen，LICheng—lin，W U Fei (CoHegeofcomputerinformationengineering，JiangxiNormalUniversity，Nanchang330022，China) Abstract：Inordertoimproveintrusiondetectionrateandreducefalsepositivesrate，anextendedfinitestateautomata(EFSA)in- tm siondetectionmodelisproposed，whichisbasedonstateprotocolanalysistechnology．ThismodelisconstructedbyaEFSA to describeattackstatetransitionandchange，andEFSAmodelcanbeusedasixtuplethatsaid，M=(P，Q，∑，W，q0，F)．Throughthe establishmentofthemodel，ontheonehand，itwillreceivethedatapacketmappingfortheconversionofprotocolstateinorder toestablishthefinitestateautomata，accordingtothedetecteddataisacceptedbytheautomatontojudgetheexistenceofanat— tack．Ontheotherhand，thedatatobedetectedaccordingtotheprotocolofshunt，SOastoenhancethedetectionaccuracy，re- ducethepatternmatchingcalculationamount，andimprovethedetectionrate．TheexperimentselectedKDD CUP99testdata sets，andthetestresultsshow thatthemethodofIntrusionDetectionBasedonEFSA modelcomparingwithfivetupleautomaton detectionmodelhasabetterdetectionrateandlowerfalsepositivesrate． Keywords：