【正文】 njoyed the talk, but said not a word, and Mr. Laurence found it impossible to go to sleep. If Jo had not been otherwise engaged, Laurie39。t stay in order long, for in exciting moments, he rumpled it up in the droll way he used to do, and Jo liked it rampantly erect better than flat, because she thought it gave his fine forehead a Jove like aspect. Poor Jo, how she did glorify that plain man, as she sat knitting away so quietly, yet letting nothing escape her, not even the fact that Mr. Bhaer actually had gold sleevebuttons in his immaculate wristbands. Dear old fellow! He couldn39。s talent and taste were duly plimented by the offer of the art table, and she exerted herself to prepare and secure appropriate and valuable contributions to it. Everything went on smoothly till the day before the fair opened, then there occurred one of the little skirmishes which it is almost impossible to avoid, when some fiveandtwenty women, old and young, with all their private piques and prejudices, try to work together. May Chester was rather jealous of Amy because the latter was a greater favorite than herself, and just at t。d been going a wooing, said Jo to herself, and then a sudden thought born of the w ords made her blush so dreadfully that she had to drop her ball, and go down after it to hide her face. The maneuver did not succeed as well as she expected, however, for though just in the act of sng creature39。s face had lost the absentminded expression, and looked all alive with interest in the present moment, actually y oung and handsome, she thought, fetting to pare him with Laurie, as she usually did strange men, to their great detrime nt. Then he seemed quite inspired, though the burial customs of the ancients, to which the conversation had strayed, might not be c onsidered an exhilarating topic. Jo quite glowed with triumph when Teddy got quenched in an argument, and thought to herself, as she watched her father39。計(jì)算機(jī)學(xué)報(bào)，第26卷第 1期： 7176) [40] Ludovic :a Geic Algorithm as an Alternative Tool for Security Trails Analysis,in the Proceedings of First International Symposium of Recent Advances in Intrusion Detection,1998. Father, Mother, this is my friend, Professor Bhaer, she said, with a face and tone of such irrepressible pride and pleasure that she might as well have blown a trumpet and opened the door with a flourish. If the stranger had any doubts about his reception, they were set at rest in a minute by the cordial wele he received. Eve ryone greeted him kindly, for Jo39。98)October 58 ,VA. [29] Bonifacio .,Cansian .,de Carvalho .,Moreira Networks applied in intrusion detection World congress on Comp. Intell.(WCCI39。本文系統(tǒng)地闡述了網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計(jì)及其實(shí)現(xiàn)。 本系統(tǒng)是模仿 LibAnomaly異常檢測程序包，對(duì)其程序進(jìn)行了少量的改動(dòng)，以使其能在Windows平臺(tái)下運(yùn)行實(shí)現(xiàn)。 這個(gè)檢測的具體過程是： I是一個(gè)輸入向量，假設(shè)長度為 n； 根據(jù) I確定另外兩個(gè)向量 A和 B： A[0]=0,B[0]=0 在第 n步時(shí)， A[n]=A[n1]+1 If( I[n] == I[n1]) B[n]=B[n1]+1 Else B[n]=B[n1]1 通過 KolgomorovSmirnov無參數(shù)的檢測方法，確定 A、 B向量是否是相關(guān)的， 平均數(shù)計(jì)算公式： n iXXA V G ?? ][)( X為長度為 n的向量 方差計(jì)算公式： 1A V G (X ))(X [i ])V A RIA N CE (X2?? ? n X為長度為 n的向量 協(xié)方差 計(jì)算公式： 1 ))(][))((][(),( ? ??? ? n YA V GiYXA V GiXYXCO V A R IA NCE X和 Y的長度都相同，都為 n 計(jì)算步驟： rho= COVARANCE(A,B)/sqrt(VARANCE (A)*(VARANCE(B))) z= * log(( + rho)/( rho)) addend = / sqrt((double) (N 3)) upper = (exp(2*(z+addend)) 1) / (exp(2*(z+addend)) + 1) lower = (exp(2*(zaddend)) 1) / (exp(2*(zaddend)) + 1) 通過以上步驟得到兩個(gè)相關(guān)值： upper和 lower 如果 upper和 lower同號(hào)，則表示 A和 B相關(guān)，如果 A和 B異號(hào)，則表明 A和 B不相關(guān)。 ‖ )的字符串，則模型建立一個(gè)異常規(guī)則： [ a | 0 ]+。 字符串轉(zhuǎn)化到字符串前綴一般基于字符分類，例如，將所有的小寫字母被映射為“ a”，所有的大寫字母被影射為“ A”，所有的數(shù)字字符被影射為“ 0”，其他所有字符保持不變。 如果， Cobsv和 Corig中頻率的最大差值大于設(shè)定的閥值 dcdist，則說明被觀測屬性呈現(xiàn)一個(gè)隨機(jī)分布，并報(bào)告異常，否則，為正常字符分布。 在檢測時(shí)期，一個(gè)被檢測的屬性值是不是異常屬性，將通過分析 Cobsv和 Corig得到結(jié)論 ，這里 Cobsv是 被檢測的屬性的字符分布向量， Corig是從訓(xùn)練信息中的字符分布向量。 n iNiX? ?? ])[][(? 1 )][(][2? ??? n iXiN ?? 異常檢測得分為： |)(| 22???obsvl 其中： lobsv :被檢測的屬性長度 根據(jù)異常檢測得分和給定的閥值，進(jìn)行異常判斷。 第 4 章 異常 檢測 異常的檢測是根據(jù)不同的檢測模型提供的方法，根據(jù)學(xué)習(xí)階段得到的信息，對(duì)檢測階段的屬性進(jìn)行分析，已確定檢測屬性是否是異常屬性，以及相應(yīng)的異常得分。 在檢測階段，一個(gè)被檢測屬性將被沿著這個(gè)自動(dòng)機(jī)的一條路徑，如果存在沒有一條路徑能將這個(gè)被檢測屬性的值轉(zhuǎn)化為一個(gè)已有的規(guī)則表達(dá)形式，則說明被檢測屬性不可能來自學(xué)習(xí)階段產(chǎn)生的規(guī)則語法，那么這個(gè)屬性就是一個(gè)異常屬性，反之，如果可以轉(zhuǎn)化到規(guī)則語法形式，則說明這個(gè)屬性是一個(gè)正常屬性。 模型在學(xué)習(xí)階段產(chǎn)生相應(yīng)的正則語法，它認(rèn)為觀測到的屬性值是一個(gè)正則語法的輸出。 結(jié)構(gòu)推論（ Structural Inference） 結(jié)構(gòu)推論模型（ Structural Inference Model）主要是學(xué)習(xí)字符串的結(jié)構(gòu)從而確定異常信息的模型。一般說來，一個(gè)給定屬性的值會(huì)有一個(gè)基本相似的字符分布情況，一個(gè)字符分布是由相對(duì)字符頻率的降序排列組成的 256個(gè) ASCII字符。這個(gè)模型的目標(biāo)是盡可能接近真實(shí)值，然而，字符串和檢測實(shí)例的長度的分布是未知的，而且檢測結(jié)果很大程度上依賴觀測到的真實(shí)值。也就是說，得分越接近 1，表示被檢測的屬性與“正?！睂傩缘南嚓P(guān)性越高，是異常的概率就越小，反之，得分越接近 0，表示越有可能是一個(gè)異常屬性。網(wǎng)絡(luò)異常檢測組件的操作對(duì)象是 URLs，而成功的 Web 請(qǐng)求就是這些 URLs 的提供者。 GASSATA 系統(tǒng)通過定義一系列的向量表示形式，使用基因算法對(duì)系統(tǒng)事件進(jìn)行分類。 (4)基因算法 基因算法（ geic algorithm）是進(jìn) 化算法（ evolutionary algorithms）的一種，引入了達(dá)爾文在進(jìn)化論中提出的自然選擇（優(yōu)勝劣汰、適者生存）的概念對(duì)系統(tǒng)進(jìn)行優(yōu)化。免疫系統(tǒng)不但能夠記憶曾經(jīng)感染過的病原體的特征，還能夠有效檢測未知的病原體，這種能力是計(jì)算機(jī)安全系統(tǒng)所缺乏并且迫切需要擁有的。為了適應(yīng)大型的、基于松散架構(gòu)的網(wǎng)絡(luò)環(huán)境， EMERALD 采用層次化分布式的 Agent 系統(tǒng)架構(gòu)?；?Agent 的入侵檢測系統(tǒng)可以為保障系統(tǒng)的安全提供混合式的架構(gòu)，綜合運(yùn)用誤用和異常檢測技術(shù)。目前主要有兩種針對(duì) Linux/Unix 操作系統(tǒng)的基于內(nèi)核的入侵檢測系統(tǒng) OpenWall 和LIDS。人工神經(jīng)網(wǎng)絡(luò)方法應(yīng)用于入侵檢測所面臨的主要問題是系統(tǒng)能不能從訓(xùn)練數(shù)據(jù)中學(xué)習(xí)到特定的知識(shí)，同時(shí)神經(jīng)網(wǎng)絡(luò)對(duì)判斷為異常的事件不會(huì)提供任何解釋或說明信息。 (3)基于人 工神經(jīng)網(wǎng)絡(luò) 人工神經(jīng)網(wǎng)絡(luò)的特點(diǎn)在于它具有學(xué)習(xí)的能力，這種學(xué)習(xí)算法允許檢測系統(tǒng)緊密地模仿用戶行為并且根據(jù)最近的變化進(jìn)行調(diào)整?；跀?shù)據(jù)挖掘的入侵檢測系統(tǒng)利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析、序列模式分析等算法提取與安全相關(guān)的 系統(tǒng)特征屬性，并根據(jù)系統(tǒng)特征屬性生成安全事件的分類模型，用于對(duì)安全事件的自動(dòng)鑒別。 比較典型的基于統(tǒng)計(jì)學(xué)原理的入侵檢測系統(tǒng)是 NIDES?！澳Ｊ健蓖ǔＪ褂靡唤M系統(tǒng)的度量來定義，度量即用戶行為在特定方面的衡量標(biāo)準(zhǔn)。行為存在四種可能性：①入侵而非異常；②非入侵且是異常的；③非入侵性且非異常；④入侵且異常。 異常入侵檢測的主要前提條件是入侵行為作為異常行為的子集。模式匹配檢 測技術(shù)是由 Kumar 在 1995年提出的，目前已成為入侵檢測領(lǐng)域中應(yīng)用最為廣泛的檢測手段和機(jī)制之一，其特點(diǎn)是原理簡單、擴(kuò)展性好、檢測效率高和可實(shí)時(shí)檢測，但其局限性是只能適用于比較簡單的攻擊方式，且誤報(bào)率高。 狀態(tài)轉(zhuǎn)移分析技術(shù)首先在 STAT 系統(tǒng)及 USTAT 系統(tǒng)中實(shí)現(xiàn) NSTAT 是 STAT 的第二代系統(tǒng)， 主要關(guān)注網(wǎng)絡(luò)系統(tǒng)中的主機(jī)；最新一代的 STAT 系統(tǒng) NetSTAT 脫離了 STAT 傳統(tǒng)的基于主機(jī)的結(jié)構(gòu)，采用了網(wǎng)絡(luò)化的分布式檢測。 專家系統(tǒng)是最早的誤用檢測技術(shù)之一，被許多經(jīng)典的檢測模型所采用，如 MIDAS、IDES、 NIDES、 DIDS 和 CMDS。 對(duì)于誤用檢測技術(shù)來說，最重要的技術(shù)問題是如何全面描述攻擊的特征，覆蓋此攻擊方法的變種和如何排除其他帶有干擾性的行為，減少誤報(bào)率。這種能力不受系統(tǒng)以前是否知道這種入侵與否的限制，所以能夠檢測新的入侵行為。誤用檢測主要缺陷在于只能檢測已知的攻擊模式，當(dāng)出現(xiàn)針對(duì)新漏洞的攻擊手段或 針對(duì)舊漏洞的新攻擊方式時(shí)，需要由人工或其他機(jī)器學(xué)習(xí)系統(tǒng)得出新攻擊的特征模式，添加到誤用模式庫中，才能使系統(tǒng)