程曉旭 于海濤 李梓

隨著網(wǎng)絡(luò)技術(shù)的發(fā)展，網(wǎng)絡(luò)入侵越來(lái)越多，網(wǎng)絡(luò)安全問(wèn)題已經(jīng)成為全球性的重要問(wèn)題。面對(duì)日益突出的網(wǎng)絡(luò)安全問(wèn)題，如何有效及時(shí)地發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，保證網(wǎng)絡(luò)系統(tǒng)和網(wǎng)絡(luò)資源的安全顯得尤為重要。

網(wǎng)絡(luò)入侵檢測(cè)技術(shù)主要分為異常檢測(cè)和誤用檢測(cè)。目前，對(duì)于誤用檢測(cè)的研究很多，成熟的工程產(chǎn)品也很多，例如ＩＤＳ就是一個(gè)開(kāi)源的入侵檢測(cè)系統(tǒng)。誤用檢測(cè)主要是由網(wǎng)絡(luò)安全專(zhuān)家對(duì)已知的入侵行為進(jìn)行分析，再用手工方法建立相應(yīng)的入侵檢測(cè)規(guī)則和檢測(cè)模式來(lái)構(gòu)造入侵檢測(cè)系統(tǒng)，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行預(yù)處理后，使之適合于檢測(cè)規(guī)則的匹配。預(yù)處理后的網(wǎng)絡(luò)連接數(shù)據(jù)與入侵檢測(cè)系統(tǒng)中規(guī)則庫(kù)中的數(shù)據(jù)進(jìn)行匹配，一旦匹配成功，說(shuō)明有入侵行為的發(fā)生，可以采取相應(yīng)的處理措施。誤用檢測(cè)的主要缺點(diǎn)是只能檢測(cè)到已知的入侵行為，不能檢測(cè)到未知的入侵行為。而異常檢測(cè)則是建立正常的網(wǎng)絡(luò)數(shù)據(jù)模型和可以接受的數(shù)據(jù)特征，異常的網(wǎng)絡(luò)入侵行為在與正常模式或正常特征匹配時(shí)，差異很大，從而可以發(fā)現(xiàn)異常網(wǎng)絡(luò)入侵行為。對(duì)于異常檢測(cè)算法的研究主要是應(yīng)用數(shù)據(jù)挖掘和機(jī)器學(xué)習(xí)的理論，其中，把聚類(lèi)算法應(yīng)用到入侵檢測(cè)中的研究較多?眼１?演。