基于EFSA模型與動態(tài)規(guī)則集入侵檢測研究.pdf

1、隨著科技的發(fā)展，網絡安全問題日益突顯，嚴重損害了網民的利益。入侵檢測技術作為一種主動的防御和檢測手段，為主機和計算機網絡提供了實時動態(tài)的安全保障。隨著網絡數(shù)據(jù)規(guī)模的不斷擴大以及黑客攻擊手段的復雜多樣，網絡安全形勢正面臨著前所未有的危機和挑戰(zhàn)。
　　針對傳統(tǒng)模式匹配技術和協(xié)議分析技術檢測攻擊存在的不足，提出一種基于狀態(tài)協(xié)議分析技術的擴展有窮自動機(EFSA)入侵檢測模型。該模型通過構建一個EFSA來描述攻擊的狀態(tài)轉移和變化，EFSA

2、入侵檢測模型可用一個六元組表示，即M=（P，Q，Σ，W，q0，F(xiàn)）。通過建立該六元組，一方面將接受到的數(shù)據(jù)包映射為協(xié)議狀態(tài)的轉換從而建立有窮狀態(tài)自動機，根據(jù)檢測數(shù)據(jù)是否被自動機接受來判斷攻擊的存在。另一方面將待檢測數(shù)據(jù)按協(xié)議分流，從而提升檢測精度，減小規(guī)則匹配計算量，提高檢測效率。在創(chuàng)建EFSA模型時給出了EFSA檢測機制和算法，在模型應用于入侵檢測過程中采用規(guī)則集分類匹配的思想，有助于提高入侵檢測準確率。另外為了更好的描述自動機，提出

3、利用狀態(tài)轉移樹表示會話的運行過程，同時為每個會話節(jié)點創(chuàng)建會話鏈表用于存儲會話信息，實現(xiàn)了會話狀態(tài)與會話鏈表的雙向關聯(lián)。最后實驗選取KDD CUP99作為測試數(shù)據(jù)集，通過實驗證明了基于EFSA模型的入侵檢測效率較之基于模式匹配和基于狀態(tài)協(xié)議分析技術的入侵檢測效率得到了提高，誤報率有所下降。
　　此外，為了減少規(guī)則匹配時間，提高入侵檢測的實時性，利用三步動態(tài)調整算法對規(guī)則集做了實時調整，依據(jù)事件匹配觸發(fā)調整規(guī)則優(yōu)先級，從而實時的把那些