典型集理論在入侵檢測(cè)中的應(yīng)用.pdf

1、隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展,黑客技術(shù)的平民化,網(wǎng)絡(luò)環(huán)境變得越來越復(fù)雜,同時(shí)信息安全問題也愈發(fā)嚴(yán)峻。入侵檢測(cè)方法作為一種積極主動(dòng)的安全防御技術(shù),也更加受到人們的關(guān)注。 本文首先介紹了入侵檢測(cè)技術(shù)的概況以及國(guó)內(nèi)外的研究現(xiàn)狀,分析了基于正常特征庫(kù)的檢測(cè)算法的不足,也就是正常特征庫(kù)的規(guī)模一直在擴(kuò)大。在檢測(cè)系統(tǒng)運(yùn)行的過程中,正常特征庫(kù)將占用更多的內(nèi)存空間并且增加檢測(cè)時(shí)間,這就降低檢測(cè)效率,尤其不適用實(shí)時(shí)檢測(cè)系統(tǒng)。 然后針對(duì)使用正常特征

2、庫(kù)匹配方法的不足,根據(jù)信息論中典型集的思想,將正常特征庫(kù)看成是一個(gè)集合,并且把集合分為兩個(gè)部分,其中一個(gè)是典型集部分,典型集中的元素所體現(xiàn)出來的屬性也就代表了整個(gè)集合的屬性,另一部分為非典型集。使用這個(gè)方法,我們可以對(duì)特征庫(kù)中冗余的元素進(jìn)行約簡(jiǎn)來提高入侵檢測(cè)系統(tǒng)的效率。 接著對(duì)Linux系統(tǒng)調(diào)用之間的關(guān)系設(shè)計(jì)了三種模型,分別為系統(tǒng)調(diào)用獨(dú)立模型,短序列獨(dú)立模型和馬氏模型。在獲得了全集正常庫(kù)的基礎(chǔ)上,從典型集的定義出發(fā),計(jì)算出每種假