方世林 劉利強 方 欣 李 毅

(湖南理工學(xué)院計算機(jī)學(xué)院，湖南 岳陽 414006)

0 引言

隨著互聯(lián)網(wǎng)的普及，IPv4網(wǎng)絡(luò)存在的不足逐漸顯露，其中最尖銳的問題是IPv4地址資源的逐漸枯竭和路由器中路由表過于龐大。為解決這些問題，IPv6協(xié)議應(yīng)運而生。IPv6協(xié)議是一種徹底解決網(wǎng)絡(luò)地址匱乏問題的方法。伴隨著IPv6應(yīng)用技術(shù)的迅速發(fā)展，與之相關(guān)的網(wǎng)絡(luò)信息安全形勢也日趨嚴(yán)峻和復(fù)雜化，網(wǎng)絡(luò)入侵和攻擊事件與日俱增［1－3］。

入侵檢測系統(tǒng)是一種主動的安全防護(hù)工具，它對計算機(jī)受到的內(nèi)、外部攻擊和誤操作進(jìn)行實時防護(hù)，在計算機(jī)網(wǎng)絡(luò)和系統(tǒng)受到侵害之前進(jìn)行報警，并作出攔截和響應(yīng)。Snort系統(tǒng)是面向IPv4網(wǎng)絡(luò)的一套入侵檢測系統(tǒng)。針對IPv6的特點與入侵檢測的研究現(xiàn)狀，在Snort入侵檢測系統(tǒng)的基礎(chǔ)上，設(shè)計了一套IPv6入侵檢測系統(tǒng)，實現(xiàn)了 IPv6環(huán)境下的入侵檢測［4－8］。

1 IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)設(shè)計

設(shè)計的新型IPv6入侵檢測系統(tǒng)是以Snort V2.8.1入侵檢測系統(tǒng)為基礎(chǔ)的。Snort系統(tǒng)是一個以開放源代碼的形式發(fā)布的網(wǎng)絡(luò)入侵檢測系統(tǒng)，由Martin Roesch編寫，并由遍布世界各地的眾多程序員共同維護(hù)和升級。根據(jù)IPv6技術(shù)的特點，對相關(guān)模塊進(jìn)行修改設(shè)計，在數(shù)據(jù)包捕獲模塊和檢測引擎處理模塊作了較大的技術(shù)創(chuàng)新。該系統(tǒng)采用行為模式來進(jìn)一步識別病毒入侵，使得網(wǎng)絡(luò)系統(tǒng)的安全性得到有效的保證。系統(tǒng)總體設(shè)計目標(biāo)是全面支持IPv4/IPv6雙協(xié)議棧，并能夠高效、準(zhǔn)確地實現(xiàn)純IPv4網(wǎng)絡(luò)、純IPv6網(wǎng)絡(luò)以及IPv4/IPv6混合網(wǎng)絡(luò)上的入侵檢測。

1.1 系統(tǒng)框架設(shè)計

IPv6入侵檢測系統(tǒng)的設(shè)計仍然采用Snort系統(tǒng)的模塊化設(shè)計思想，模塊主體結(jié)構(gòu)仍然采用Snort系統(tǒng)的主體結(jié)構(gòu)，各模塊根據(jù)IPv6協(xié)議的需要進(jìn)行重新規(guī)劃和設(shè)計，各模塊功能支持IPv6協(xié)議。IPv6入侵檢測系統(tǒng)整體結(jié)構(gòu)由六個模塊組成:數(shù)據(jù)包捕獲模塊、IPv4/IPv6雙協(xié)議棧解析模塊、數(shù)據(jù)包預(yù)處理模塊、特征規(guī)則解析模塊、檢測引擎處理模塊和告警輸出模塊。

1.2 系統(tǒng)工作流程

根據(jù)系統(tǒng)設(shè)計目標(biāo)，IPv6入侵檢測系統(tǒng)要實現(xiàn)IPv4和IPv6雙協(xié)議下的入侵檢測。同時，為了保障系統(tǒng)在IPv4與IPv6之間的良好過渡，考慮到IPv4網(wǎng)絡(luò)與IPv6網(wǎng)絡(luò)之間的互操作及平滑升級機(jī)制，本系統(tǒng)采用雙協(xié)議棧技術(shù)來實現(xiàn)IPv6入侵檢測系統(tǒng)［9－10］。

依據(jù)雙協(xié)議棧的設(shè)計理念，IPv6入侵檢測系統(tǒng)在Snort系統(tǒng)原有結(jié)構(gòu)的基礎(chǔ)上加入了支持IPv6協(xié)議的內(nèi)容。IPv6入侵檢測系統(tǒng)首先對數(shù)據(jù)捕獲設(shè)備、數(shù)據(jù)捕獲緩沖區(qū)、規(guī)則存儲鏈表、入侵特征庫和預(yù)處理器等進(jìn)行初始化;然后啟動數(shù)據(jù)包捕獲模塊，根據(jù)系統(tǒng)的需要從網(wǎng)絡(luò)上捕獲所有流經(jīng)網(wǎng)段的原始數(shù)據(jù)包，經(jīng)過過濾器的簡單處理后再將數(shù)據(jù)包送到協(xié)議解碼模塊;協(xié)議解碼模塊再對數(shù)據(jù)包進(jìn)行解碼，解碼后的結(jié)果存放在系統(tǒng)內(nèi)部預(yù)先定義好的包數(shù)據(jù)結(jié)構(gòu)中，同時將包數(shù)據(jù)結(jié)構(gòu)送往預(yù)處理模塊作進(jìn)一步處理。

預(yù)處理模塊有兩個功能:一是對數(shù)據(jù)包進(jìn)行流重組、分片重組和相關(guān)協(xié)議格式的規(guī)范化處理，使之更適合檢測引擎的匹配工作;二是實現(xiàn)基于規(guī)則的檢測引擎所無法完成的工作。

數(shù)據(jù)包在經(jīng)預(yù)處理模塊處理之后，被送往檢測引擎處理模塊進(jìn)行規(guī)則匹配工作，檢測引擎依據(jù)攻擊特征規(guī)則庫，再對每一個數(shù)據(jù)包進(jìn)行檢測，判斷是否存在入侵。如果是正常數(shù)據(jù)包，則進(jìn)行用戶行為模式分析識別處理，如仍是正常數(shù)據(jù)包，則作丟棄處理;否則調(diào)用輸出模塊對數(shù)據(jù)包進(jìn)行報警和日志記錄工作，執(zhí)行完成后立即返回，進(jìn)行循環(huán)操作。IPv6入侵檢測系統(tǒng)總體流程如圖1所示。

圖1 IPv6入侵檢測系統(tǒng)主流程圖Fig.1 Main flowchart of IPv6 intrusion detection system

2 系統(tǒng)模塊設(shè)計

2.1 數(shù)據(jù)包捕獲模塊

數(shù)據(jù)包捕獲是入侵檢測的基礎(chǔ)，數(shù)據(jù)捕獲的準(zhǔn)確性、可靠性和效率決定了整個入侵檢測系統(tǒng)的性能。如果數(shù)據(jù)自身不正確，系統(tǒng)就無法檢測到某些攻擊，后果不堪設(shè)想;如果數(shù)據(jù)不完整，系統(tǒng)的檢測能力就會大打折扣;如果采集數(shù)據(jù)的延時太大，系統(tǒng)很可能在檢測到攻擊的時候，入侵者就可能已經(jīng)入侵。IPv6入侵檢測系統(tǒng)的數(shù)據(jù)包捕獲是通過使用一個平臺獨立的網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包Libpcap來實現(xiàn)的。在其基礎(chǔ)上，綜合應(yīng)用新應(yīng)用程序接口(new application program interface，NAPI)技術(shù)和內(nèi)存映射技術(shù)來提高數(shù)據(jù)包捕獲的效率，達(dá)到快速捕獲數(shù)據(jù)包的目的［11］。

入侵檢測系統(tǒng)中引入了NAPI技術(shù)思想，即當(dāng)數(shù)據(jù)包中的第一個數(shù)據(jù)包到達(dá)網(wǎng)絡(luò)設(shè)備時，采用中斷的方式通知系統(tǒng)，系統(tǒng)將該網(wǎng)絡(luò)設(shè)備注冊到一個設(shè)備輪詢隊列中，同時關(guān)閉對該設(shè)備的中斷響應(yīng);激活一個軟中斷，對注冊的網(wǎng)絡(luò)設(shè)備進(jìn)行輪詢，并從中讀取數(shù)據(jù)包。同時引入了配額概念，從而保證對各個網(wǎng)絡(luò)設(shè)備的公平調(diào)度。采用NAPI技術(shù)，系統(tǒng)在輕負(fù)載的情況下，采用中斷方式，響應(yīng)速度很快;在重負(fù)載的情況下，用輪詢方式，能高效處理數(shù)據(jù)包并避免中斷活鎖問題。

入侵檢測系統(tǒng)中引入了內(nèi)存映射技術(shù)思想，即在系統(tǒng)中申請一個與內(nèi)核空間共享的環(huán)形緩沖區(qū)，以存放內(nèi)核捕獲的數(shù)據(jù)包在內(nèi)存中的地址。當(dāng)網(wǎng)絡(luò)上有大量的數(shù)據(jù)包到達(dá)時，內(nèi)核就不斷向緩沖區(qū)中寫入數(shù)據(jù)，網(wǎng)絡(luò)數(shù)據(jù)包捕獲開發(fā)包Libpcap不停地從緩沖區(qū)中讀數(shù)據(jù)，數(shù)據(jù)包的讀寫是并行工作、互不影響的。在系統(tǒng)運行過程中，不需要通過系統(tǒng)調(diào)用從內(nèi)核中獲取數(shù)據(jù)包，從而消除了系統(tǒng)調(diào)用的開銷，使得系統(tǒng)的處理速度加快，提高了系統(tǒng)性能。

2.2 IPv4/IPv6雙協(xié)議解析模塊

Snort系統(tǒng)是利用協(xié)議分析技術(shù)來實現(xiàn)入侵檢測的［12］。本模塊就是在Snort系統(tǒng)原有的IPv4解析模塊的基礎(chǔ)上加入IPv6解析部分，實現(xiàn)IPv4/IPv6雙協(xié)議解析功能。協(xié)議解析為規(guī)則檢測作準(zhǔn)備，它將從鏈路層捕獲到的二進(jìn)制數(shù)據(jù)根據(jù)協(xié)議的規(guī)則性進(jìn)行取值;然后根據(jù)取值實施下一步的動作，而不是簡單地對整個數(shù)據(jù)包進(jìn)行模式匹配，從而大大提高了入侵檢測的效率和準(zhǔn)確性。

2.3 數(shù)據(jù)包預(yù)處理模塊

數(shù)據(jù)包預(yù)處理模塊主要是對數(shù)據(jù)包作一些前期的處理，以便于檢測模塊對其進(jìn)行檢測和處理。預(yù)處理模塊對于提高檢測的準(zhǔn)確性、檢測的效率具有重要的作用［13］。Snort系統(tǒng)的預(yù)處理器是以插件形式存在的。系統(tǒng)只需要在Snort系統(tǒng)原有的預(yù)處理器的基礎(chǔ)上，加入支持IPv6技術(shù)的預(yù)處理器即可。它的原理是首先在系統(tǒng)中建立一條預(yù)處理函數(shù)鏈表，然后根據(jù)系統(tǒng)配置文件里所需的預(yù)處理服務(wù)，將所需的處理函數(shù)加入該鏈表中。在進(jìn)行基于規(guī)則的入侵檢測前，要沿著該鏈表對數(shù)據(jù)包信息進(jìn)行相應(yīng)的處理。捕獲到的數(shù)據(jù)包在經(jīng)過協(xié)議解析之后，會流經(jīng)數(shù)據(jù)包預(yù)處理模塊，此時按鏈表的組織順序與數(shù)據(jù)包進(jìn)行比較，如果數(shù)據(jù)包與預(yù)處理器條件相匹配，則執(zhí)行相應(yīng)的預(yù)處理。

2.4 規(guī)則解析模塊

規(guī)則解析模塊是IPv6入侵檢測系統(tǒng)的核心之一。該模塊主要涉及規(guī)則的語法要求、規(guī)則的組織形式和新增的基于IPv6協(xié)議的規(guī)則等方面的內(nèi)容。為了合理且高效地建立規(guī)則鏈表，規(guī)則有統(tǒng)一的規(guī)則語法要求。規(guī)則語法要求包括規(guī)則頭和規(guī)則選項兩部分內(nèi)容。規(guī)則的組織形式是規(guī)則解析之后加入的規(guī)則鏈表的結(jié)構(gòu)，由于規(guī)則鏈表的組織方式直接決定著入侵檢測系統(tǒng)的效率和性能，因此，必須合理且高效地規(guī)則鏈表的組織形式。參照Snort系統(tǒng)規(guī)則解析模塊，可方便地編寫出相應(yīng)的IPv6的入侵規(guī)則。

2.5 檢測引擎處理模塊

在入侵檢測系統(tǒng)中，數(shù)據(jù)包的檢測匹配函數(shù)在規(guī)則樹建立的時候已經(jīng)完成，所以，IPv6檢測引擎可以沿用Snort系統(tǒng)原有的檢測引擎，只需要在原有檢測引擎的基礎(chǔ)上加入部分支持IPv6協(xié)議的內(nèi)容即可。但利用協(xié)議分析技術(shù)來實現(xiàn)入侵檢測的能力畢竟有限。因此，在檢測引擎處理模塊上作者作了改進(jìn)創(chuàng)新，即對檢測出來的正常數(shù)據(jù)包再采用用戶行為模式來甄別是否為病毒入侵，從而進(jìn)行相應(yīng)處理。用戶行為模式的主動防御策略是系統(tǒng)在很長一段時間內(nèi)，通過合法用戶的正常操作的執(zhí)行行為識別用戶的執(zhí)行模式。檢測引擎處理模塊對系統(tǒng)進(jìn)行行為監(jiān)控，并識別當(dāng)前的行為模式，然后與正常用戶行為模式進(jìn)行比較。如果系統(tǒng)符合用戶執(zhí)行模式，則表明系統(tǒng)正常，繼續(xù)監(jiān)控;反之，則說明系統(tǒng)已經(jīng)感染病毒。

檢測引擎處理模塊通過模式識別技術(shù)來實現(xiàn)對用戶行為的分析［14］，并檢測是否為病毒入侵。該技術(shù)首先要收集大量已知病毒類型的訓(xùn)練樣本，再從中提取出病毒特征值，并利用這些特征值構(gòu)造出一個對未知病毒類型進(jìn)行樣本分類的分類器。模式識別技術(shù)原理如圖2所示。

圖2 模式識別技術(shù)原理圖Fig.2 Principle of pattern identification technology

圖2中，有甲、乙兩類樣本，分別用黑邊方形和黑邊圓形表示，每個樣本的特征值是一個二維向量，X軸代表具有一種特性，Y軸代表具有另外某種特性，則構(gòu)造一根決策線。此時，有一個未知類型的樣本(菱形表示)，由于其位于決策線上方，于是被判定屬于甲類。這根決策線就是要構(gòu)造的分類器。

根據(jù)此方案，首先需要收集病毒樣本，然后通過監(jiān)控獲取其程序執(zhí)行行為報告，對于用戶的正常操作也截獲類似的報告，再通過特征提取將報告轉(zhuǎn)換為特征向量，最后構(gòu)造出分類器。在這個方案中需要解決兩個算法:特征提取算法和分類器構(gòu)造算法。

特征提取是先構(gòu)造一個嵌入函數(shù)φ。該函數(shù)將程序執(zhí)行行為報告映射到高維特征空間。在文獻(xiàn)［15］中，以特征字符串在程序執(zhí)行行為報告中的出現(xiàn)頻率來反映程序的執(zhí)行特征。嵌入函數(shù)可以這樣描述:假設(shè)特征字符串集合為F，程序執(zhí)行行為報告的集合為X，對于特征字符串s(s∈F)和程序執(zhí)行行為報告x(x∈X)，記f(x，s)為s在x中出現(xiàn)的頻率。嵌入函數(shù)φ:φ是X到‖F(xiàn)‖維實空間的映射，‖F(xiàn)‖是集合F的模，也就是特征字符串的個數(shù)。設(shè)特征集F有兩個特征字符串，即F={copy_file，create_file}，特征向量空間是二維的:φ(x)→［f(x，S1)，f(x，S2)］，其中，S1=copy_file，S2=create_file。這樣，一個樣本的一次執(zhí)行就會被轉(zhuǎn)換為一個特征向量。

在模式識別技術(shù)中，由于涉及特征選擇問題，大多數(shù)情況下特征向量的維數(shù)太高，將導(dǎo)致計算過程特別復(fù)雜，因此，我們一般選取最具區(qū)分性的幾個特征，沿用文獻(xiàn)［15］的嵌入函數(shù)。通過嵌入函數(shù)，先把樣本的特征量化成特征向量，再使用通用的分類器構(gòu)造算法。具體的構(gòu)造算法很多，包括決策樹、神經(jīng)網(wǎng)絡(luò)、支持向量機(jī)等，本文采用的算法是支持分量機(jī)(support vector machine，SVM)技術(shù)。

整個模塊在同一個虛擬環(huán)境內(nèi)運行，這個過程可以通過虛擬執(zhí)行技術(shù)來實現(xiàn)。該模塊包括樣本收集器模塊、虛擬執(zhí)行環(huán)境模塊和行為分析器模塊三個模塊。樣本收集器模塊用來收集病毒樣本。虛擬執(zhí)行環(huán)境模塊是對程序進(jìn)行虛擬執(zhí)行，獲取其行為并生成報告。行為分析器模塊一方面對訓(xùn)練樣本虛擬執(zhí)行后生成的報告進(jìn)行分析，生成分類器;另一方面測試樣本虛擬執(zhí)行后生成的報告進(jìn)行分析，生成檢測報告。

病毒檢測流程分為以下兩部分。第一部分是行為分析器，即長期積累和更新的過程。分析器不斷地更新病毒特征庫，從新的病毒中不斷學(xué)習(xí)其模式。這部分的執(zhí)行過程是對已知病毒進(jìn)行虛擬執(zhí)行，得到病毒行為報告，然后據(jù)此構(gòu)造分析器。第二部分是病毒檢測工作，將病毒進(jìn)行虛擬執(zhí)行，得到病毒行為報告，然后利用構(gòu)造好的分析器進(jìn)行行為分析，得到病毒檢測報告。

2.6 告警輸出模塊

IPv6入侵檢測系統(tǒng)的輸出模塊和IPv4入侵檢測系統(tǒng)差不多，基于Snort的IPv6入侵檢測系統(tǒng)告警輸出模塊只需要對Snort的快速報警模塊、完全報警模塊、UnixSocket報警模塊、SMB報警模塊和記錄日志模塊進(jìn)行改造，使之具有處理IPv6信息的輸出能力即可。IPv6入侵檢測系統(tǒng)的輸出模塊入口有很多，系統(tǒng)的不同部分會在的不同階段使用輸出模塊。在協(xié)議解析階段，數(shù)據(jù)包協(xié)議解析會使用到輸出插件。在檢測引擎處理階段，如果檢測到數(shù)據(jù)包滿足預(yù)先定義的入侵特征，則進(jìn)入輸出模塊，對結(jié)果進(jìn)行記錄并以直觀的表現(xiàn)形式上報給管理員。

3 試驗結(jié)果與分析

在Snort2.8.1系統(tǒng)下進(jìn)行相關(guān)測試，使用Oprofile軟件對系統(tǒng)運行過程中的中斷次數(shù)和系統(tǒng)調(diào)用次數(shù)進(jìn)行了對比。改進(jìn)前后中斷個數(shù)的對比結(jié)果如圖3所示。對比結(jié)果表明，采用NAPI技術(shù)后，相同流量下系統(tǒng)中斷的次數(shù)明顯降低，尤其是在流量較大的情況下。這也表明NAPI技術(shù)在網(wǎng)絡(luò)負(fù)載較小的情況下趨近于中斷，而在網(wǎng)絡(luò)負(fù)載較大的情況下趨近于輪詢。

圖3 采用NAPI技術(shù)前后的中斷結(jié)果對比Fig.3 Inter-comparison of the interrupting results before and after adopting NAPI technology

采用地址映射技術(shù)，改進(jìn)前后系統(tǒng)調(diào)用的對比結(jié)果如圖4所示。由圖4可以看出，相同流量下系統(tǒng)調(diào)用的次數(shù)明顯減少，幾乎達(dá)到可以忽略不計的程度。由此可知，內(nèi)存映射技術(shù)可以大幅度地降低系統(tǒng)調(diào)用次數(shù)。

圖4 采用地址映射技術(shù)前后的系統(tǒng)調(diào)用結(jié)果對比Fig.4 Inter-comparison of the system call results before and after adopting memory mapping technology

借鑒文獻(xiàn)［16］中Rieck等人的試驗方法，對設(shè)計的檢測引擎處理模塊進(jìn)行測試。首先將收集到的100000個病毒分成10類，并按照文獻(xiàn)［16］的標(biāo)準(zhǔn)對這些病毒進(jìn)行分類處理;然后以數(shù)據(jù)庫的形式建立一個規(guī)范的小型病毒庫，病毒庫的每一項對應(yīng)一個病毒樣本，包括序號、名稱和家族等屬性，并將所有的樣本分為訓(xùn)練樣本和測試樣本。樣本病毒按照90%用于訓(xùn)練、10%用于測試進(jìn)行分配。圖5所示的是采用了針對用戶行為模式的主動防御策略的病毒檢測系統(tǒng)對這10類病毒的識別率。

圖5 病毒檢測系統(tǒng)對10類病毒的識別率Fig.5 Identification rates of the virus detection system to ten categories of viruses

由圖5可以看出，檢測系統(tǒng)對病毒的識別率都在80%以上，而個別家族的識別率幾乎達(dá)到100%，其中，家族1、5和10的識別率是比較令人滿意的，家族2和7的結(jié)果稍遜色，還存在一定的提升空間。不過在檢測引擎處理模塊中會先對數(shù)據(jù)進(jìn)行檢測引擎處理。行為識別模式是針對未知病毒的，即可視為對未知病毒主動防御的檢測結(jié)果。

4 結(jié)束語

系統(tǒng)在保持原有IPv4入侵檢測系統(tǒng)引擎優(yōu)點的基礎(chǔ)上，挖掘IPv6特征，對IPv6入侵系統(tǒng)各功能模塊進(jìn)行了詳細(xì)的設(shè)計［17］。新型的IPv6入侵檢測系統(tǒng)在數(shù)據(jù)包捕獲和入侵檢測上作了較大的技術(shù)創(chuàng)新，建立了一種高效安全的IPv6網(wǎng)絡(luò)入侵檢測系統(tǒng)。本文對主動防御技術(shù)的研究具有一定的參考價值。

［1］Liu H，Yu L.Toward integrating feature selection algorithms for classification and clustering［J］.IEEE Transaction on Knowledge and Data Engineering，2005，17(3):1 －12.

［2］褚玲瑜，吳學(xué)智，齊文娟.IPv6的安全問題探討［J］.微計算機(jī)信息，2006，22(1):10 －12.

［3］張岳公，李大興.IPv6下的網(wǎng)絡(luò)攻擊和入侵分析［J］.計算機(jī)科學(xué)，2006，33(2):100 －102.

［4］張道強，陳松燦.高維數(shù)據(jù)降維方法［J］.中國計算機(jī)學(xué)會通訊，2009，5(8):15 －22.

［5］劉衍珩，田大新，余雪崗，等.基于分布式學(xué)習(xí)的大規(guī)模網(wǎng)絡(luò)入侵檢測算法［J］.軟件學(xué)報，2008(4):2012－2019.

［6］李振強，趙曉宇，馬嚴(yán).IPv6安全脆弱性研究［J］.計算機(jī)應(yīng)用研究，2006(11):109－112.

［7］韓東海，王超，李群.入侵檢測系統(tǒng)實例剖析［M］.北京:清華大學(xué)出版社，2002.

［8］唐正軍.網(wǎng)絡(luò)入侵檢測系統(tǒng)的設(shè)計與實現(xiàn)［M］.北京:電子工業(yè)出版社，2002.

［9］張建忠，徐敬東，吳功宜，等.分布式入侵檢測系統(tǒng)研究與實現(xiàn)［J］.計算機(jī)工程與應(yīng)用，2004，40(36):160 －162.

［10］胡道元，閔京華.網(wǎng)絡(luò)安全［M］.北京:清華大學(xué)出版社，2004.

［11］李偉，魯士文.Snort數(shù)據(jù)包捕獲性能的分析與改進(jìn)［J］.計算機(jī)應(yīng)用與軟件，2005，22(7):104 －105.

［12］李曉芳，姚遠(yuǎn).入侵檢測工具Snort的研究與使用［J］.計算機(jī)應(yīng)用與軟件，2006，23(3):45 －47.

［13］扈兆明，蘇志勝，趙曉宇，等.IPv6分片重組在入侵檢測系統(tǒng)中的實現(xiàn)［J］.現(xiàn)代電信技術(shù)，2005(4):45－49.

［14］Burges C.A tutorial on support vector machines for pattern recognition［J］.Data Mining and Knowledge Discovery，1998，2(2):121－167.

［15］Christodorescu M，Jha S.Static analysis of executables to detect malicious patterns［C］//Proceedings of the 12th Coference on USENIX Security Symposium，2003.

［16］Rieck K，Holz T，Willems C，et al.Learning and classification conference on of malware behavior［C］//Proceedings of the 5th International Conference on Detection of Instrusions and Malware，and Vulnerability Assessment，2008.

［17］王興柱.基于IPv6的網(wǎng)絡(luò)入侵檢測系統(tǒng)研究［J］.微計算機(jī)信息 －管控一體化，2009，25(3－3):101－102.