基于EFSA模型與動(dòng)態(tài)規(guī)則集入侵檢測(cè)研究.pdf

1、隨著科技的發(fā)展，網(wǎng)絡(luò)安全問(wèn)題日益突顯，嚴(yán)重?fù)p害了網(wǎng)民的利益。入侵檢測(cè)技術(shù)作為一種主動(dòng)的防御和檢測(cè)手段，為主機(jī)和計(jì)算機(jī)網(wǎng)絡(luò)提供了實(shí)時(shí)動(dòng)態(tài)的安全保障。隨著網(wǎng)絡(luò)數(shù)據(jù)規(guī)模的不斷擴(kuò)大以及黑客攻擊手段的復(fù)雜多樣，網(wǎng)絡(luò)安全形勢(shì)正面臨著前所未有的危機(jī)和挑戰(zhàn)。
　　針對(duì)傳統(tǒng)模式匹配技術(shù)和協(xié)議分析技術(shù)檢測(cè)攻擊存在的不足，提出一種基于狀態(tài)協(xié)議分析技術(shù)的擴(kuò)展有窮自動(dòng)機(jī)(EFSA)入侵檢測(cè)模型。該模型通過(guò)構(gòu)建一個(gè)EFSA來(lái)描述攻擊的狀態(tài)轉(zhuǎn)移和變化，EFSA

2、入侵檢測(cè)模型可用一個(gè)六元組表示，即M=（P，Q，Σ，W，q0，F(xiàn)）。通過(guò)建立該六元組，一方面將接受到的數(shù)據(jù)包映射為協(xié)議狀態(tài)的轉(zhuǎn)換從而建立有窮狀態(tài)自動(dòng)機(jī)，根據(jù)檢測(cè)數(shù)據(jù)是否被自動(dòng)機(jī)接受來(lái)判斷攻擊的存在。另一方面將待檢測(cè)數(shù)據(jù)按協(xié)議分流，從而提升檢測(cè)精度，減小規(guī)則匹配計(jì)算量，提高檢測(cè)效率。在創(chuàng)建EFSA模型時(shí)給出了EFSA檢測(cè)機(jī)制和算法，在模型應(yīng)用于入侵檢測(cè)過(guò)程中采用規(guī)則集分類(lèi)匹配的思想，有助于提高入侵檢測(cè)準(zhǔn)確率。另外為了更好的描述自動(dòng)機(jī)，提出

3、利用狀態(tài)轉(zhuǎn)移樹(shù)表示會(huì)話(huà)的運(yùn)行過(guò)程，同時(shí)為每個(gè)會(huì)話(huà)節(jié)點(diǎn)創(chuàng)建會(huì)話(huà)鏈表用于存儲(chǔ)會(huì)話(huà)信息，實(shí)現(xiàn)了會(huì)話(huà)狀態(tài)與會(huì)話(huà)鏈表的雙向關(guān)聯(lián)。最后實(shí)驗(yàn)選取KDD CUP99作為測(cè)試數(shù)據(jù)集，通過(guò)實(shí)驗(yàn)證明了基于EFSA模型的入侵檢測(cè)效率較之基于模式匹配和基于狀態(tài)協(xié)議分析技術(shù)的入侵檢測(cè)效率得到了提高，誤報(bào)率有所下降。
　　此外，為了減少規(guī)則匹配時(shí)間，提高入侵檢測(cè)的實(shí)時(shí)性，利用三步動(dòng)態(tài)調(diào)整算法對(duì)規(guī)則集做了實(shí)時(shí)調(diào)整，依據(jù)事件匹配觸發(fā)調(diào)整規(guī)則優(yōu)先級(jí)，從而實(shí)時(shí)的把那些