龔民,孫建華,朱秀蘭

提要:入侵檢測系統(tǒng)是繼“防火墻”、“信息加密”等傳統(tǒng)安全保護方法之后的新一代安全保障技術(shù)。在介紹入侵檢測系統(tǒng)的基礎(chǔ)上,對入侵檢測分析技術(shù)做了比較詳細的分析及概括,介紹分析了傳統(tǒng)入侵分析技術(shù)的特點和不足,重點對目前IDS產(chǎn)品中廣泛使用的特征分析技術(shù)進行了研究。

關(guān)鍵詞:入侵檢測系統(tǒng);模型;智能化方法

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2009)34-9673-03

Research of Anlysis Technque in Intrusion Detection System

GONG Min1,2, SUN Jian-hua1, ZHU Xiu-lan2

(1.School of Computer and Communications, Hunan University,Changsha 410082, China; 2.Changsha Electric Power Technical College, Changsha 410131, China)

Abstract: Intrusion Detection System is a new safeguard technique for system security after traditional techniques, such as "firewall", "message encryption" and so on. Based on the introducing the intrusion detection system, analyzed the characteristic and weak point of traditional intrusion analysis techniques, and emphasis widely used in commercialized IDS on Signatures-Based analysis technique which production.

Key words: intrusion detection system; model; model of intelligentize

隨著互聯(lián)網(wǎng)的飛速發(fā)展,網(wǎng)絡(luò)攻擊和入侵事件與日俱增,攻擊工具與手段日趨復(fù)雜多樣,曾經(jīng)作為最主要的安全防范手段的防火墻,己經(jīng)不能滿足人們對網(wǎng)絡(luò)安全的需求。特別是近幾年,政府部門、軍事機構(gòu)、金融機構(gòu)及各類企業(yè)的計算機網(wǎng)絡(luò)頻遭黑客襲擊,攻擊者可以輕易地對那些沒有安全保護的網(wǎng)絡(luò)進行攻擊和入侵,如進行拒絕服務(wù)攻擊、從事非授權(quán)的訪問、肆意竊取和篡改重要的數(shù)據(jù)信息、安裝后門監(jiān)聽程序以便隨時獲得內(nèi)部信息、傳播計算機病毒、摧毀主機等等。攻擊和入侵事件給個人用戶和機構(gòu)、企業(yè)帶來了巨大的經(jīng)濟損失和形象損害,甚至直接威脅到國家的安全。

入侵檢測系統(tǒng)(IDS)作為一種動態(tài)的安全防御系統(tǒng),它與傳統(tǒng)的靜態(tài)防御系統(tǒng)最大不同的是,IDS主動去發(fā)現(xiàn)入侵攻擊行為,使系統(tǒng)防患于未燃。如果把防火墻看成是一座城墻,則IDS就如同城墻上的哨兵。IDS擴展了系統(tǒng)管理員的安全管理能力(包括安全審計、監(jiān)視、進攻識別和響應(yīng)),提高了信息安全基礎(chǔ)結(jié)構(gòu)的完整性。同時,入侵檢測系統(tǒng)能在不影響網(wǎng)絡(luò)性能的情況下對網(wǎng)絡(luò)進行監(jiān)聽,從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護。

入侵檢測系統(tǒng)的目的是要在入侵攻擊對系統(tǒng)發(fā)生危害前,檢測到入侵攻擊,并利用報警與防護系統(tǒng)來對抗入侵攻擊,盡可能地減少入侵攻擊所造成的不期望損失。目前對入侵檢測系統(tǒng)的主要任務(wù)功能的界定主要有:

1) 監(jiān)視、分析網(wǎng)絡(luò)及系統(tǒng)、用戶等活動;

2) 系統(tǒng)構(gòu)造和弱點的審計;

3) 識別反映己知進攻的活動模式并向相關(guān)人員報警;

4) 異常行為模式的統(tǒng)計分析;

5) 評估重要系統(tǒng)和數(shù)據(jù)文件的完整性;

6) 操作系統(tǒng)的審計跟蹤管理,并識別用戶違反安全策略的行為。

1 入侵檢測系統(tǒng)的數(shù)據(jù)來源

任何入侵攻擊方法,不管多么高明,總會留下入侵痕跡,入侵檢測系統(tǒng)可以收集目標(biāo)系統(tǒng)中的各項數(shù)據(jù)和信息。入侵分析技術(shù)就是要針對這些可疑的痕跡進行分析判斷,發(fā)現(xiàn)潛在的和已經(jīng)發(fā)生的入侵。因此,入侵分析是決定整個入侵檢測系統(tǒng)性能的關(guān)鍵因素。

入侵分析所依據(jù)和參考的信息一般可以分為以下四個方面:

1) 系統(tǒng)和網(wǎng)絡(luò)日志文件

充分利用系統(tǒng)和網(wǎng)絡(luò)日志文件信息是檢測入侵的必要條件。日志文件中記錄了各種行為類型,每種類型又包含不同的信息,例如記錄“用戶活動”類型的日志,就包含登錄、用戶ID改變、用戶對文件的訪間、授權(quán)和認證信息等內(nèi)容。日志中記錄了發(fā)生在系統(tǒng)和網(wǎng)絡(luò)上的不尋常和不期望活動,這些記錄證據(jù)能表明有人正在入侵或己成功入侵了系統(tǒng)。

2) 目錄和文件的不期望的改變

網(wǎng)絡(luò)環(huán)境中的文件系統(tǒng)包含很多軟件和數(shù)據(jù)文件,包含重要信息的文件和私有數(shù)據(jù)文件經(jīng)常是黑客修改或破壞的目標(biāo)。目錄和文件中的不期望的改變(包括修改、創(chuàng)建和刪除),特別是那些正常情況下限制訪問的,很可能就是一種入侵產(chǎn)生的指示和信號。黑客經(jīng)常替換、修改和破壞他們獲得訪問權(quán)的系統(tǒng)上的文件,同時為了隱藏系統(tǒng)中他們的表現(xiàn)及活動痕跡,都會盡力去替換系統(tǒng)程序或修改系統(tǒng)日志文件。

3) 程序執(zhí)行中的不期望行為

網(wǎng)絡(luò)系統(tǒng)上的程序執(zhí)行一般包括操作系統(tǒng)、網(wǎng)絡(luò)服務(wù)、用戶使用的程序和特定目的的應(yīng)用。每個在系統(tǒng)上執(zhí)行的程序由一到多個進程來實現(xiàn),每個進程執(zhí)行在具有不同權(quán)限的環(huán)境中,這種環(huán)境控制著進程可訪問的系統(tǒng)資源、程序和數(shù)據(jù)文件等。一個進程的執(zhí)行行為由它運行時執(zhí)行的操作來表現(xiàn),操作執(zhí)行的方式不同,它利用的系統(tǒng)資源也就不同。操作包括計算、文件傳輸、設(shè)備和其它進程,以及與網(wǎng)絡(luò)間其它進程的通訊。一個進程出現(xiàn)了不期望的行為可能表明黑客正在入侵系統(tǒng)。黑客可能會將程序或服務(wù)的運行分解,從而導(dǎo)致它失敗,或者是以非用戶或管理員意圖的方式操作。

4) 物理形式的入侵信息

這包括兩個方面的內(nèi)容,一是未授權(quán)的對網(wǎng)絡(luò)硬件連接;二是對物理資源的未授權(quán)訪問。

上述四類收集到的有關(guān)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)及用戶活動的狀態(tài)和行為等信息,都會包含有入侵攻擊的所留下的痕跡,這些信息將是進行入侵分析的依據(jù)。

2 入侵分析技術(shù)

基于各種入侵攻擊,產(chǎn)生了以下一些傳統(tǒng)入侵分析技術(shù)以抵制入侵行為:

1) 特征分析技術(shù)

特征分析技術(shù)最早應(yīng)用在基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)中,其基本原理是:根據(jù)己知的入侵攻擊特征,提煉出入侵特征串,如異常的網(wǎng)絡(luò)命令或敏感詞等,在輸入的網(wǎng)絡(luò)數(shù)據(jù)流中進行簡單的模式匹配,在預(yù)先定義的入侵特征庫中查找這些入侵特征串,以發(fā)現(xiàn)可能的攻擊行為,這種檢測技術(shù)的性能關(guān)鍵在于高效的模式匹配算法。特征分析技術(shù)只是將網(wǎng)絡(luò)中的數(shù)據(jù)包看成是數(shù)據(jù)流,沒有考慮網(wǎng)絡(luò)數(shù)據(jù)包中所包含的協(xié)議格式化信息。因此,特征分析技術(shù)往往和協(xié)議分析技術(shù)相互結(jié)合,以提高匹配的效率。但是在高速網(wǎng)絡(luò)的環(huán)境下,面臨大量數(shù)據(jù)包和龐大的特征庫的情況下,系統(tǒng)性能會大大下降。

2) 協(xié)議分析技術(shù)

協(xié)議分析技術(shù)的依據(jù)是網(wǎng)絡(luò)數(shù)據(jù)的傳輸是嚴格遵循TCP/IP協(xié)議的,網(wǎng)絡(luò)數(shù)據(jù)包是嚴格定義格式的數(shù)據(jù)流,協(xié)議分析技術(shù)將輸入的數(shù)據(jù)包按照各層協(xié)議報文封裝的方向順序?qū)訉咏馕龀鰜?然后對各層解析的結(jié)果進行分析。協(xié)議分析技術(shù)的重點操作內(nèi)容就是檢查數(shù)據(jù)包中各協(xié)議字段值是否符合網(wǎng)絡(luò)協(xié)議定義的期望值或在合理的范圍之內(nèi)。利用預(yù)先定義好的關(guān)于協(xié)議字段的期望值和合理值的知識,來判斷是否存在入侵行為。目前在網(wǎng)絡(luò)入侵檢測中,較為普遍的方式是在協(xié)議分析的基礎(chǔ)上,進行入侵特征的匹配。這兩種技術(shù)融合在一起,能很好地取長補短。

3) 統(tǒng)計模型分析技術(shù)

統(tǒng)計分析使用概率統(tǒng)計理論作為工具,一般應(yīng)用在異常檢測方法上,用以確定正常行為的輪廓,區(qū)分出那些是可能的入侵行為。統(tǒng)計分析的關(guān)鍵一是選擇合理的統(tǒng)計參數(shù),一是建立科學(xué)有效的統(tǒng)計模型。比較具有代表性的統(tǒng)計模型如:

① 操作模型,該模型假設(shè)異?？赏ㄟ^測量結(jié)果與一些固定指標(biāo)相比較得到,固定指標(biāo)可以根據(jù)經(jīng)驗值或一段時間內(nèi)的統(tǒng)計平均得到。舉例來說,在短時間內(nèi)的多次失敗的登錄很有可能是口令嘗試攻擊;

② 方差模型,計算參數(shù)的方差,設(shè)定其置信區(qū)間,當(dāng)測量值超過置信區(qū)間的范圍時表明有可能是異常;

③ 馬爾科夫過程模型,將每種類型的事件定義為系統(tǒng)狀態(tài),用狀態(tài)轉(zhuǎn)移矩陣來表示狀態(tài)的變化,當(dāng)一個事件發(fā)生時,或狀態(tài)矩陣該轉(zhuǎn)移的概率較小則可能是異常事件。

統(tǒng)計方法的優(yōu)點是它可以通過建立的統(tǒng)計模型來發(fā)現(xiàn)未知的入侵攻擊方法,統(tǒng)計方法還可以利用機器學(xué)習(xí)的技術(shù)來不斷地學(xué)習(xí),使模型更加合理有效。但是它的學(xué)習(xí)能力也給入侵者以機會,通過逐步“訓(xùn)練”使入侵事件符合正常操作的統(tǒng)計規(guī)律,從而使模型失去判斷入侵的能力。此外,建立一個好的統(tǒng)計模型需要大量的統(tǒng)計數(shù)據(jù)和相關(guān)處理,統(tǒng)計模型的好壞直接影響到檢測的漏報、誤報率及準(zhǔn)確性。由于統(tǒng)計模型所能表達的事件范圍很有限,雖然統(tǒng)計分析技術(shù)能發(fā)現(xiàn)未知的入侵行為,但是誤報率高是這種技術(shù)的主要缺點。

4) 完整性分析

完整性檢測方法是網(wǎng)絡(luò)安全產(chǎn)品中常用的手段之一。完整性分析主要關(guān)注某個文件或?qū)ο笫欠癖桓?這經(jīng)常包括文件和目錄的內(nèi)容及屬性,對于被更改的和被特洛伊化的文件及應(yīng)用程序方面特別有效。完整性分析利用強有力的加密機制,稱為消息摘要函數(shù),它能識別文件及應(yīng)用程序中極其微小的變化。完整性分析優(yōu)點是,只要是成功的攻擊導(dǎo)致了文件或其它對象的任何改變,它都能夠發(fā)現(xiàn)。完整性分析一般以批處理方式實現(xiàn),用于事后分析而不用于實時響應(yīng)。

5) 專家系統(tǒng)

專家系統(tǒng)建立在入侵知識庫的基礎(chǔ)上,專家系統(tǒng)根據(jù)所獲得的事實和已知的入侵規(guī)則進行推導(dǎo)來判斷入侵行為。對入侵攻擊的特征抽取與表達,是專家系統(tǒng)的關(guān)鍵。專家系統(tǒng)一般采用if—then的產(chǎn)生式規(guī)則,在系統(tǒng)實現(xiàn)中,將有關(guān)入侵的知識轉(zhuǎn)化為if—then結(jié)構(gòu),if部分為某種入侵的若干關(guān)鍵特征,當(dāng)這些關(guān)鍵特征滿足后則由then部分給出相應(yīng)的結(jié)論。專家系統(tǒng)重點是專家知識庫的構(gòu)建,運用專家系統(tǒng)檢測入侵行為的有效性完全取決于專家系統(tǒng)知識庫的完備性,知識庫的構(gòu)建與領(lǐng)域?qū)＜业乃矫芮邢嚓P(guān),知識庫的完備性又取決于審計記錄的完備性與實時性,建立完備的入侵知識庫對于大型的網(wǎng)絡(luò)系統(tǒng)而言是很難實現(xiàn)的。當(dāng)知識庫異常龐大時,專家系統(tǒng)就會存在運行效率下降的問題,同時知識庫的動態(tài)更新也是專家系統(tǒng)的一個技術(shù)難點。

由于傳統(tǒng)的入侵檢測技術(shù)存在虛報警率高,缺乏檢測已知攻擊的變形和新攻擊方法,以及擴展性和自適應(yīng)性差的不足。目前,研究人員又將許多智能化方法引入侵分析技術(shù)領(lǐng)域,試圖解決傳統(tǒng)檢測技術(shù)存在的諸多問題。智能化方法包括有:

(1) 數(shù)據(jù)挖掘技術(shù)

入侵檢測系統(tǒng)要準(zhǔn)確有效地發(fā)現(xiàn)入侵行為,必然需要分析大量的數(shù)據(jù),如果無法快速有效地對數(shù)據(jù)進行提取和篩選,系統(tǒng)的檢測性能將會受到嚴重的影響。數(shù)據(jù)挖掘又稱為知識發(fā)現(xiàn)技術(shù),主要是從海量數(shù)據(jù)中尋找出有用的知識的過程,它是一種主動知識發(fā)現(xiàn)技術(shù),其目標(biāo)就是采用各種特定的算法在海量的數(shù)據(jù)中發(fā)現(xiàn)有用的可理解的數(shù)據(jù)模式。利用數(shù)據(jù)挖掘技術(shù),能夠有效地分析收集到的網(wǎng)絡(luò)和主機數(shù)據(jù),并從中提取出入侵行為特征,歸納出相應(yīng)的檢測模型以檢測分析同類的攻擊行為。在入侵檢測領(lǐng)域中,常用的數(shù)據(jù)挖掘算法有:

a) 分類算法,目標(biāo)是將特定的數(shù)據(jù)項歸入預(yù)先定義好的某個類別中。主要實現(xiàn)途徑是,通過大量訓(xùn)練數(shù)據(jù)并結(jié)合特定的分類算法生成相應(yīng)的“分類器”,利用“分類器”達到將數(shù)據(jù)分類的目的;

b) 關(guān)聯(lián)分析算法,用于發(fā)現(xiàn)數(shù)據(jù)間的關(guān)聯(lián)特性,數(shù)據(jù)的關(guān)聯(lián)性是區(qū)分數(shù)據(jù)的重要依據(jù);

c) 序列分析算法,通過對序列模式的的發(fā)掘和分析,能夠為檢測模型提供有效的入侵分析特性。此外還有聚類分析,演進分析等。

(2) 數(shù)據(jù)融合技術(shù)

在大規(guī)模的網(wǎng)絡(luò)環(huán)境下,要有效地檢測到入侵行為以及評估整個網(wǎng)絡(luò)的安全性能,需要大量收集各種不同數(shù)據(jù)源的信息作為檢測的依據(jù)。但是,來自各種來源的大量泛濫的數(shù)據(jù)、系統(tǒng)消息等由于處理速度的關(guān)系,都無法得到及時有效的處理。在這種情況下不僅無助于解決問題,反而浪費和降低系統(tǒng)的處理能力和檢測性能。數(shù)據(jù)融合技術(shù)能把各種數(shù)據(jù)和信息,如網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志文件、系統(tǒng)消息、操作命令等綜合在一起,綜合成一個統(tǒng)一的處理進程,高效處理各種信息資源。數(shù)據(jù)融合技術(shù)在入侵檢測領(lǐng)域還需要做很多工作,如何開發(fā)出通用的結(jié)構(gòu)化“元語言”來描述入侵檢測和網(wǎng)絡(luò)管理的對象,以及對網(wǎng)絡(luò)攻擊行為的檢測技術(shù),還有將多傳感器數(shù)據(jù)融合理論應(yīng)用到實際IDS系統(tǒng)中的相關(guān)問題等都是值得進一步研究的。

(3) 遺傳算法

遺傳算法是對生物界“優(yōu)勝劣汰,適者生存”的自然規(guī)律的模擬,它具有很好的學(xué)習(xí)功能,可以對己有規(guī)則進行優(yōu)化和求精,也能挖掘出新的規(guī)則。利用遺傳算法可以對入侵知識庫進行維護更新,優(yōu)化知識庫結(jié)構(gòu)。在入侵檢測中應(yīng)用遺傳算法,首先要對可能出現(xiàn)的檢測結(jié)果進行編碼,生成染色體,再利用定義的適應(yīng)性函數(shù)對這些染色體進行選取,產(chǎn)生初始種群,然后對染色體執(zhí)行遺傳操作(復(fù)制,變異,重組),經(jīng)過種群的若干代遺傳操作直至得到預(yù)期的結(jié)果。遺傳算法是解決組合和優(yōu)化問題的有效方法,不需要對目標(biāo)有精確的了解,能夠處理大量帶有噪聲和無關(guān)數(shù)據(jù)的變化事件。其不足之處在于,染色體編碼沒有一致的規(guī)范性,染色體選擇,初始種群選取的困難,此外,遺傳算法在理論上還存在收斂性問題。

(4) 神經(jīng)網(wǎng)絡(luò)技術(shù)

神經(jīng)網(wǎng)絡(luò)是模擬人腦加工,存儲和處理信息機制而提出的一種智能化信息處理技術(shù)。神經(jīng)網(wǎng)絡(luò)對網(wǎng)絡(luò)中模糊、不完整的輸入信息有一定的容錯處理能力,同時,神經(jīng)網(wǎng)絡(luò)還具有高度學(xué)習(xí)和自適應(yīng)能力。神經(jīng)網(wǎng)絡(luò)是由大量基本的計算單元(神經(jīng)元)相互連接構(gòu)成的一個分布式網(wǎng)狀結(jié)構(gòu),它通過對神經(jīng)元的調(diào)節(jié)來進行學(xué)習(xí)。神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)過程一般為:

a) 網(wǎng)絡(luò)構(gòu)造和訓(xùn)練,在訓(xùn)練中不斷調(diào)整網(wǎng)絡(luò)的權(quán)值;

b) 網(wǎng)絡(luò)修剪,刪除多余的隱含層節(jié)點和節(jié)點之間的聯(lián)結(jié);

c) 從網(wǎng)絡(luò)中提取分類規(guī)則。

目前,由于神經(jīng)網(wǎng)絡(luò)的學(xué)習(xí)能力是有限的,面對網(wǎng)絡(luò)環(huán)境的存在大量的攻擊特征,如何有效識別這些入侵攻擊特征是神經(jīng)網(wǎng)絡(luò)技術(shù)需要解決的問題,在計算速度上,當(dāng)前的計算機體系結(jié)構(gòu)無法真正實現(xiàn)神經(jīng)網(wǎng)絡(luò)的并行計算潛能,此外,神經(jīng)網(wǎng)絡(luò)對于判定出的結(jié)果不能給出確定性的判定步驟。

(5) 計算機免疫學(xué)技術(shù)

計算機免疫技術(shù)是直接受到生物免疫機制的啟發(fā)而產(chǎn)生的,S.Forest等人在將計算機安全與生物免疫學(xué)進行類比研究后,最早提出了計算機免疫學(xué)的概念,并將其應(yīng)用到了入侵檢測的研究領(lǐng)域。生物免疫系統(tǒng)具有健壯性、記憶能力、容錯能力、動態(tài)穩(wěn)定性以及異常檢測等良好特性,這些特性與一個高性能的網(wǎng)絡(luò)IDS有很大的相似性。生物免疫系統(tǒng)的主要目的是識別“本體”和“異體”,它是通過抗體和抗原的結(jié)合來實現(xiàn)的,如何模擬基因庫更新、否定選擇、克隆選擇等抗體生成過程建立入侵檢測器是建立基于人工免疫原理的IDS的關(guān)鍵。例如,計算機免疫系統(tǒng)可以按照系統(tǒng)調(diào)用序列來劃分正常和異常行為,建立應(yīng)用程序模型,比較模型與所觀測到的事件就可以分出正常與可疑的行為?；谌斯っ庖叩腎DS在實現(xiàn)異常檢測方面具有很大潛力,不足之處在于完善基于人工免疫的模型還有困難。需進一步找到合適的否定選擇算法和克隆選擇算法,需要獲取足夠多的能代表系統(tǒng)行為的正常數(shù)據(jù)樣本等。

除了上述的各項智能檢測技術(shù)以外,還有粗糙集理論、模糊集理論等智能檢測技術(shù)。同時,上述智能檢測技術(shù)又可以取長補短,相互結(jié)合。

3 入侵檢測系統(tǒng)的評價

在很大程度上IDS也是一個軟件系統(tǒng),從軟件工程的角度就肯定存在IDS的軟件評價這一重要問題,評價指標(biāo)包括IDS復(fù)雜性、可用性、可靠性、魯棒性等,從而設(shè)計通用的入侵檢測測試與評估方法和平臺,實現(xiàn)對不同IDS的有效評價已成為當(dāng)前IDS的另一重要研究與發(fā)展領(lǐng)域。

4 小結(jié)

入侵檢測技術(shù)是近年來迅速發(fā)展的系統(tǒng)安全技術(shù),雖然尚末成熟,但己經(jīng)充分證明了其在信息安全領(lǐng)域的應(yīng)用價值。入侵檢測系統(tǒng)是一個既能運用靜態(tài)防御又能進行動態(tài)防御的系統(tǒng),能夠幫助網(wǎng)絡(luò)系統(tǒng)快速發(fā)現(xiàn)入侵攻擊行為,是防火墻技術(shù)的合理補充。IDS的前景充滿希望和挑戰(zhàn),必將吸引國內(nèi)越來越多的安全技術(shù)工作者投身其中,推動我國IDS理論研究與產(chǎn)品開發(fā)水平的提高與發(fā)展。目前,IDS技術(shù)還處在發(fā)展中,許多新的方法和技術(shù)不斷被提出和研究,隨著IDS技術(shù)的逐漸發(fā)展和成熟,IDS在整個安全部署中的重要性將會被廣泛認可和接受。

參考文獻:

[1] Rebecca Gurley Bace.入侵檢測[M].陳明奇,吳秋新,譯.北京:人民郵電出版社,2001.

[2] 李鎮(zhèn)江,戴英俠,陳越.IDS入侵檢測系統(tǒng)研究[J].計算機工程,2001,4:7-9.

[3] 胡昌振.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:北京理工大學(xué)出版社,2006.

[4] 蔣建春,馮登國.網(wǎng)絡(luò)入侵檢測原理與技術(shù)[M].北京:國防工業(yè)出版社,2001.

[5] 蘭景英,王永恒,朱培棟.入侵檢測系統(tǒng)分析及改進[J].計算機應(yīng)用,2007.