【正文】 ode)用于在訓(xùn)練模式和檢測(cè)模式之間進(jìn)行轉(zhuǎn)換 insert_item(Item *_item)用 于在訓(xùn)練模式下，向模型中加入訓(xùn)練數(shù)據(jù) check_item(Item *item)用于在檢測(cè)模式下，測(cè)試給定的數(shù)據(jù)的異常得分，這個(gè)得分在 [0,1]之間， 0表示完全異常， 1表示完全正常 第 6 章 結(jié)論 隨著計(jì)算機(jī)及網(wǎng)絡(luò)應(yīng)用的日益廣泛深入，計(jì)算機(jī)系統(tǒng)已經(jīng)從獨(dú)立的主機(jī)發(fā)展到復(fù)雜的、互聯(lián)的開(kāi)放式系統(tǒng)。 如果能將其余幾個(gè)算法一并實(shí)現(xiàn)并綜合考慮，然后將對(duì) Apache的日志檢測(cè)改為實(shí)時(shí)檢測(cè)，既可以實(shí)現(xiàn)一個(gè)對(duì)網(wǎng)絡(luò)請(qǐng)求異常檢測(cè)、報(bào)警的實(shí)施檢測(cè)系統(tǒng)。Coast TR 9805。s really a pleasure now and then to bee a mere nothing, especially when a man is as highly placed as I am. And then to think that we all, even with patent lacquer, are nothing more than insects of a moment on that anthill the earth, though we may be insects with stars and garters, places and offices! One feels quite a novice beside these venerable millionyearold boulders. On last New Year39。s eve, to the Brocken。 but according to die French proverb。 for as iron sharpens iron, so by glory one courage sharpeh another. In cases of great enterprise, upon charge and adventure, a position of glorious natures doth put life into business。 omnium, quae cHxerat jeceratque, arte quadam ostentator: for that proceeds not of vanity, but of natural magnanimity, and discretion: and in some persons is not only ely, but gracious. For excusations, cessions, modesty itself well governed, are but arts of ostentation. And amongst those arts there is none be tter, than that which Plinius Secundus speaketh of。 for he that you mend, is either superior to you, in that you mend, or inferior. If he be inferior, if he be to be mended, you much more。 and the slaves of their own vaunts. LastIndexNext And now havi。 the admiration of fools。s self hath any perfection. For saith Pliny very wittily。s memory。 there are sometimes great effects of cross lies。s night through the air to Amack. They sit backwards on their painting b all lapse of time, and had bee a cipher and a nothing. Then three alone, or moveth upon greater means, if they have never so little hand in it, they think it is they that carry it They that are glorious, must needs be factious。s diversion, namely, the wild hunt to Amack. Ah, you don39。計(jì)算機(jī)學(xué)報(bào)，第26卷第 1期： 7176) [40] Ludovic :a Geic Algorithm as an Alternative Tool for Security Trails Analysis,in the Proceedings of First International Symposium of Recent Advances in Intrusion Detection,1998. 54 Of Vainglory It was prettily devised of Aesop。98)October 58 ,VA. [29] Bonifacio .,Cansian .,de Carvalho .,Moreira Networks applied in intrusion detection World congress on Comp. Intell.(WCCI39。本文系統(tǒng)地闡述了網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)的設(shè)計(jì)及其實(shí)現(xiàn)。 本系統(tǒng)是模仿 LibAnomaly異常檢測(cè)程序包，對(duì)其程序進(jìn)行了少量的改動(dòng)，以使其能在Windows平臺(tái)下運(yùn)行實(shí)現(xiàn)。 這個(gè)檢測(cè)的具體過(guò)程是： I是一個(gè)輸入向量，假設(shè)長(zhǎng)度為 n； 根據(jù) I確定另外兩個(gè)向量 A和 B： A[0]=0,B[0]=0 在第 n步時(shí)， A[n]=A[n1]+1 If( I[n] == I[n1]) B[n]=B[n1]+1 Else B[n]=B[n1]1 通過(guò) KolgomorovSmirnov無(wú)參數(shù)的檢測(cè)方法，確定 A、 B向量是否是相關(guān)的， 平均數(shù)計(jì)算公式： n iXXA V G ?? ][)( X為長(zhǎng)度為 n的向量 方差計(jì)算公式： 1A V G (X ))(X [i ])V A RIA N CE (X2?? ? n X為長(zhǎng)度為 n的向量 協(xié)方差 計(jì)算公式： 1 ))(][))((][(),( ? ??? ? n YA V GiYXA V GiXYXCO V A R IA NCE X和 Y的長(zhǎng)度都相同，都為 n 計(jì)算步驟： rho= COVARANCE(A,B)/sqrt(VARANCE (A)*(VARANCE(B))) z= * log(( + rho)/( rho)) addend = / sqrt((double) (N 3)) upper = (exp(2*(z+addend)) 1) / (exp(2*(z+addend)) + 1) lower = (exp(2*(zaddend)) 1) / (exp(2*(zaddend)) + 1) 通過(guò)以上步驟得到兩個(gè)相關(guān)值： upper和 lower 如果 upper和 lower同號(hào)，則表示 A和 B相關(guān)，如果 A和 B異號(hào)，則表明 A和 B不相關(guān)。 ” )的字符串，則模型建立一個(gè)異常規(guī)則： [ a | 0 ]+。 字符串轉(zhuǎn)化到字符串前綴一般基于字符分類，例如，將所有的小寫字母被映射為“ a”，所有的大寫字母被影射為“ A”，所有的數(shù)字字符被影射為“ 0”，其他所有字符保持不變。 如果， Cobsv和 Corig中頻率的最大差值大于設(shè)定的閥值 dcdist，則說(shuō)明被觀測(cè)屬性呈現(xiàn)一個(gè)隨機(jī)分布，并報(bào)告異常，否則，為正常字符分布。 在檢測(cè)時(shí)期，一個(gè)被檢測(cè)的屬性值是不是異常屬性，將通過(guò)分析 Cobsv和 Corig得到結(jié)論 ，這里 Cobsv是 被檢測(cè)的屬性的字符分布向量， Corig是從訓(xùn)練信息中的字符分布向量。 n iNiX? ?? ])[][(? 1 )][(][2? ??? n iXiN ?? 異常檢測(cè)得分為： |)(| 22???obsvl 其中： lobsv :被檢測(cè)的屬性長(zhǎng)度 根據(jù)異常檢測(cè)得分和給定的閥值，進(jìn)行異常判斷。 第 4 章 異常 檢測(cè) 異常的檢測(cè)是根據(jù)不同的檢測(cè)模型提供的方法，根據(jù)學(xué)習(xí)階段得到的信息，對(duì)檢測(cè)階段的屬性進(jìn)行分析，已確定檢測(cè)屬性是否是異常屬性，以及相應(yīng)的異常得分。 在檢測(cè)階段，一個(gè)被檢測(cè)屬性將被沿著這個(gè)自動(dòng)機(jī)的一條路徑，如果存在沒(méi)有一條路徑能將這個(gè)被檢測(cè)屬性的值轉(zhuǎn)化為一個(gè)已有的規(guī)則表達(dá)形式，則說(shuō)明被檢測(cè)屬性不可能來(lái)自學(xué)習(xí)階段產(chǎn)生的規(guī)則語(yǔ)法，那么這個(gè)屬性就是一個(gè)異常屬性，反之，如果可以轉(zhuǎn)化到規(guī)則語(yǔ)法形式，則說(shuō)明這個(gè)屬性是一個(gè)正常屬性。 模型在學(xué)習(xí)階段產(chǎn)生相應(yīng)的正則語(yǔ)法，它認(rèn)為觀測(cè)到的屬性值是一個(gè)正則語(yǔ)法的輸出。 結(jié)構(gòu)推論（ Structural Inference） 結(jié)構(gòu)推論模型（ Structural Inference Model）主要是學(xué)習(xí)字符串的結(jié)構(gòu)從而確定異常信息的模型。一般說(shuō)來(lái)，一個(gè)給定屬性的值會(huì)有一個(gè)基本相似的字符分布情況，一個(gè)字符分布是由相對(duì)字符頻率的降序排列組成的 256個(gè) ASCII字符。這個(gè)模型的目標(biāo)是盡可能接近真實(shí)值，然而，字符串和檢測(cè)實(shí)例的長(zhǎng)度的分布是未知的，而且檢測(cè)結(jié)果很大程度上依賴觀測(cè)到的真實(shí)值。也就是說(shuō)，得分越接近 1，表示被檢測(cè)的屬性與“正常”屬性的相關(guān)性越高，是異常的概率就越小，反之，得分越接近 0，表示越有可能是一個(gè)異常屬性。網(wǎng)絡(luò)異常檢測(cè)組件的操作對(duì)象是 URLs，而成功的 Web 請(qǐng)求就是這些 URLs 的提供者。 GASSATA 系統(tǒng)通過(guò)定義一系列的向量表示形式，使用基因算法對(duì)系統(tǒng)事件進(jìn)行分類。 (4)基因算法 基因算法（ geic algorithm）是進(jìn) 化算法（ evolutionary algorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇（優(yōu)勝劣汰、適者生存）的概念對(duì)系統(tǒng)進(jìn)行優(yōu)化。免疫系統(tǒng)不但能夠記憶曾經(jīng)感染過(guò)的病原體的特征，還能夠有效檢測(cè)未知的病原體，這種能力是計(jì)算機(jī)安全系統(tǒng)所缺乏并且迫切需要擁有的。為了適應(yīng)大型的、基于松散架構(gòu)的網(wǎng)絡(luò)環(huán)境， EMERALD 采用層次化分布式的 Agent 系統(tǒng)架構(gòu)?；?Agent 的入侵檢測(cè)系統(tǒng)可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用和異常檢測(cè)技術(shù)。目前主要有兩種針對(duì) Linux/Unix 操作系統(tǒng)的基于內(nèi)核的入侵檢測(cè)系統(tǒng) OpenWall 和LIDS。人工神經(jīng)網(wǎng)絡(luò)方法應(yīng)用于入侵檢測(cè)所面臨的主要問(wèn)題是系統(tǒng)能不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)到特定的知識(shí)，同時(shí)神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說(shuō)明信息。 (3)基于人 工神經(jīng)網(wǎng)絡(luò) 人工神經(jīng)網(wǎng)絡(luò)的特點(diǎn)在于它具有學(xué)習(xí)的能力，這種學(xué)習(xí)算法允許檢測(cè)系統(tǒng)緊密地模仿用戶行為并且根據(jù)最近的變化進(jìn)行調(diào)整?；跀?shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、序列模式分析等算法提取與安全相關(guān)的 系統(tǒng)特征屬性，并根據(jù)系統(tǒng)特征屬性生成安全事件的分類模型，用于對(duì)安全事件的自動(dòng)鑒別。 比較典型的基于統(tǒng)計(jì)學(xué)原理的入侵檢測(cè)系統(tǒng)是 NIDES?！澳Ｊ健蓖ǔＪ褂靡唤M系統(tǒng)的度量來(lái)定義，度量即用戶行為在特定方面的衡量標(biāo)準(zhǔn)。行為存在四種可能性：①入侵而非異常；②非入侵且是異常的；③非入侵性且非異常；④入侵且異常。 異常入侵檢測(cè)的主要前提條件是入侵行為作為異常行為的子集。模式匹配檢 測(cè)技術(shù)是由 Kumar 在 1995年提出的，目前已成為入侵檢測(cè)領(lǐng)域中應(yīng)用最為廣泛的檢測(cè)手段和機(jī)制之一，其特點(diǎn)是原理簡(jiǎn)單、擴(kuò)展性好、檢測(cè)效率高和可實(shí)時(shí)檢測(cè)，但其局限性是只能適用于比較簡(jiǎn)單的攻擊方式，且誤報(bào)率高。 狀態(tài)轉(zhuǎn)移分析技術(shù)首先在 STAT 系統(tǒng)及 USTAT 系統(tǒng)中實(shí)現(xiàn) NSTAT 是 STAT 的第二代系統(tǒng)， 主要關(guān)注網(wǎng)絡(luò)系統(tǒng)中的主機(jī)；最新一代的 STAT 系統(tǒng) NetSTAT 脫離了 STAT 傳統(tǒng)的基于主機(jī)的結(jié)構(gòu)，采用了網(wǎng)絡(luò)化的分布式檢測(cè)。 專家系統(tǒng)是最早的誤用檢測(cè)技術(shù)之一，被許多經(jīng)典的檢測(cè)模型所采用，如 MIDAS、IDES、 NIDES、 DIDS 和 CMDS。 對(duì)于誤用檢測(cè)技術(shù)來(lái)說(shuō)，最重要的技術(shù)問(wèn)題是如何全面描述攻擊的特征，覆蓋此攻擊方法的變種和如何排除其他帶有干擾性的行為，減少誤報(bào)率。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測(cè)新的入侵行為。誤用檢測(cè)主要缺陷在于只能檢測(cè)已知的攻擊模式，當(dāng)出現(xiàn)針對(duì)新漏洞的攻擊手段或 針對(duì)舊漏洞的新攻擊方式時(shí)，需要由人工或其他機(jī)器學(xué)習(xí)系統(tǒng)得出新攻擊的特征模式，添加到誤用模式庫(kù)中，才能使系統(tǒng)具備檢測(cè)新的攻擊手段的能力。 基于分析方法分類 入侵檢測(cè)從分析引擎所采用的技術(shù)上來(lái)說(shuō)，可以分為誤用檢測(cè) (misuse detection)和異常檢測(cè) (anomaly detection)兩大類。不同入侵檢測(cè)系統(tǒng)在實(shí)現(xiàn)時(shí)采用的響應(yīng)方式也可能不同，但通常都包括通知管理員、切斷連接、記錄相關(guān)的信息以