有色Petri網(wǎng)在入侵檢測中的研究與應(yīng)用.pdf

1、隨著計算機網(wǎng)絡(luò)的迅速發(fā)展,Internet已經(jīng)成為人們?nèi)粘Ｉ钪斜夭豢扇鄙俚牟糠?網(wǎng)絡(luò)安全也越來越成為人們關(guān)注的焦點。如何迅速有效地發(fā)現(xiàn)各種入侵行為,對于保證系統(tǒng)和網(wǎng)絡(luò)資源的安全顯得十分重要。傳統(tǒng)的防火墻、數(shù)據(jù)加密等靜態(tài)防御方式已很難勝任網(wǎng)絡(luò)安全的需要,入侵檢測技術(shù)應(yīng)運而生,它是一種主動地對網(wǎng)絡(luò)進(jìn)行安全防護(hù)的技術(shù),是傳統(tǒng)網(wǎng)絡(luò)安全技術(shù)的必要補充。入侵檢測系統(tǒng)在計算機安全系統(tǒng)中發(fā)揮著越來越重要的作用。針對入侵檢測方法和技術(shù)的研究己經(jīng)引起人們

2、越來越多的重視。
　　 從檢測技術(shù)看,入侵檢測可以分為濫用檢測、異常檢測和基于規(guī)范的檢測三類。濫用檢測指運用已知攻擊方法,按照已定義好的入侵模式,通過判斷這些入侵模式是否出現(xiàn)來檢測。即任何不符合特定匹配條件的活動將被認(rèn)為是合法和可以接受的,即使這些活動中包含著隱蔽的入侵行為。濫用檢測由依據(jù)具體特征庫進(jìn)行判斷,而且檢測結(jié)果有明確的參照,所以不僅檢測準(zhǔn)確度很高,也為系統(tǒng)管理員作出相應(yīng)措施提供了方便。濫用檢測的缺陷在于檢測范圍受已知攻

3、擊知識的局限；另外檢測系統(tǒng)對目標(biāo)系統(tǒng)的依賴性太強,這使系統(tǒng)移植性不好,維護(hù)工作量大,并且將具體入侵手段抽象成知識也很困難。
　　 本文針對濫用檢測存在的上述問題,從入侵檢測系統(tǒng)的發(fā)展和現(xiàn)狀入手,針對國內(nèi)外有關(guān)入侵特征分析的檢測方法進(jìn)行深入研究。首先,分析當(dāng)前基于狀態(tài)轉(zhuǎn)換的入侵檢測系統(tǒng)的方法,包括狀態(tài)自動機和Petri網(wǎng)建模方式。通過分析已有的有限狀態(tài)自動機和Petri網(wǎng)模型所面臨的狀態(tài)組合爆炸問題,將有色Petri網(wǎng)引入到入侵檢