李文龍 于開 曲寶勝

摘要： 在分析研究Ｓｎｏｒｔ系統(tǒng)的優(yōu)缺點的基礎上，利用其開源性和支持插件的優(yōu)勢，針對其對無法檢測到新出現(xiàn)的入侵行為、漏報率較高以及檢測速度較低等問題，在Ｓｎｏｒｔ系統(tǒng)的基礎上結合入侵檢測中的數(shù)據(jù)挖掘技術，提出一種基于Ｓｎｏｒｔ系統(tǒng)的混合入侵檢測系統(tǒng)模型。該系統(tǒng)模型在Ｓｎｏｒｔ系統(tǒng)原有系統(tǒng)模型基礎上增加了正常行為模式構建模塊、異常檢測模塊、分類器模塊、規(guī)則動態(tài)生成模塊等擴展功能模塊。改進后的混合入侵檢測系統(tǒng)能夠實時更新系統(tǒng)的檢測規(guī)則庫，進而檢測到新的入侵攻擊行為；同時，改進后的混合入侵檢測系統(tǒng)具有誤用檢測和異常檢測的功能，從而提高檢測系統(tǒng)檢測效率。