一種檢測模式過濾器的研究與設計

摘 要：簡要介紹了入侵檢測系統模型及人工免疫在入侵檢測技術上的應用，分析了影響LISYS系統的檢測元檢測效率的原因，提出了一個設置過濾器的解決方案，詳細描述了過濾算法，并以具體實驗結果作了定量分析。

關鍵詞：入侵檢測；人工免疫；檢測元；模式過濾

0 引言

傳統入侵檢測模型大體上可以分為基于誤用的入侵檢測模型和基于異常的入侵檢測模型兩種。

異常檢測系統試圖發現一些未知的入侵行為，異常檢測根據使用者的行為或資源使用狀況來判斷是否入侵，而不依據具體行為是否出現作判斷，其主要缺陷在于誤檢率很高，尤其在用戶數目眾多或工作行為經常改變的環境中。

誤用檢測系統則用來發現一些已知的入侵行為。誤用檢測又稱特征檢測，依據具體特征庫進行判斷，從而檢測出入侵行為。其主要缺陷是只能檢測特征庫中已知的入侵，漏檢率很高。本文在模型分析的基礎上，通過模式過濾器設置，來提高系統檢測效率。

1 兩種模型的整合

為使檢測系統達到較好的檢測效果，目前普遍的解決方式是同時在系統中采用兩種檢測模型，實現優勢互補。通常采用的兼用兩種模型的辦法是并行地施行兩套檢測措施(即對待檢信息分別進行誤用和異常檢測)，而采用的檢測算法大致包括：基于誤用的，專家系統、模型推理方法、狀態轉換分析；基于異常的，統計學方法、神經網絡方法。這些方法都存在一定的缺陷，尤其是在效率上；……