一种检测模式过滤器的研究和设计.pdfVIP

· l6 · ComputerEraNo．10 2007 一 种检测模式过滤器的研究与设计 王 斌 (天津外国语学院国际商学院，天津 300204) 摘 要：简要介绍了入侵检测系统模型及人工免疫在入侵检测技术上的应用，分析了影响LISYS系统的检测元检测效 率的原因，提出了一个设置过滤器的解决方案，详细描述了过滤算法，并以具体实验结果作了定量分析。 关键词 ：入侵检测 ；人工免疫；检测元 ；模式过滤 0引言 针对上述问题 ，Homfmeyr和 Forrest模拟人体免疫系统提 传统入侵检测模型大体上可以分为基于误用的入侵检测 出了基于免疫原理的负选择模型：首先定义一个 Self集 (简单 模型和基于异常的入侵检测模型两种。 的正常模式集，其中所有模式可以理解为正常网络行为)，随机 异常检测系统试图发现一些未知的入侵行为。异常检测根 产生若干检测元 (抗体)，清除会对Self集产生警报的检测元 据使用者的行为或资源使用状况来判断是否入侵 ，而不依据具 (此过程称为阴性选择)，然后通过阴性选择的检测元开始探查 体行为是否出现作判断，其主要缺陷在于误检率很高，尤其在 网络上的信息 (此时可以理解为在做异常检测)。如发现属于 用户数 目众多或工作行为经常改变的环境中。 Nonself集的事件则预警，检查系统是否发生损害，若无则可理 误用检测系统则用来发现一些已知的入侵行为。误用检测 解为正常事件，将此事件记入Self集，该检测元自行消亡(这样 又称特征检测，依据具体特征库进行判断，从而检测出入侵行 就避免了误检的产生)；反之 ，则视为遭受入侵，激活该检测元， 为。其主要缺陷是只能检测特征库中已知的入侵 ，漏检率很高。 将入侵行为特征计入特征库 ，检测元升级为误用(记忆)检测元， 本文在模型分析的基础上，通过模式过滤器设置 ，来提高系统 检测具有该特征的入侵行为。这样既解决了误检的问题又将异 检测效率。 常和误用两种检测模型完美地结合起来。 其检测元生成算法可以归结如下(见图 1)： 1两种模型的整合 (1)定义一个 自我模式集作为生成有效检测元的训练集； 为使检测系统达到较好的检测效果 ，目前普遍的解决方式 (2)产生候选检测元。通过一个随机过程来产生一个长度 是同时在系统中采用两种检测模型，实现优势互补。通常采用 为49位的位串作为候选检测元； 的兼用两种模型的办法是并行地施行两套检测措施 (即对待检 (3)产生有效检测元集合 R，将产生的候选检测元与自我集 信息分别进行误用和异常检测)，而采用的检测算法大致包括： 中的模式进行匹配试验。若匹配，则丢弃该候选串，返回(2)；否则 基于误用的，专家系统、模型推理方法 、状态转换分析；基于异 该候选检测元就是一个有效的检测元，进入R集合，返回(2)； 常的，统计学方法、神经网络方法。这些方法都存在一定的缺 (4)重复(2)，(3)直到产生一定数量的有效检测元为止。 陷，尤其是在效率上；而且每一种方法都独成一体，很难整合。 当从客户端提交一个作业时，网格对客户进行身份验证， 参考文献 ： 并为此次调用生成一个实例。分形工作流引擎将作业放入任务