蔡晶晶 鄭學(xué)智

摘? ?要：以Snort為核心，以分層分布式網(wǎng)絡(luò)為框架構(gòu)建基于APT攻擊的入侵檢測模塊的防御系統(tǒng)，并提出了一套新的OTN動(dòng)態(tài)匹配算法。首先，介紹了APT攻擊的特點(diǎn)。然后提出了一套針對APT攻擊的基于Snort的防御檢測模型，并在Snort原有的三步動(dòng)態(tài)調(diào)節(jié)算法的基礎(chǔ)上，提出了一個(gè)新的動(dòng)態(tài)匹配算法。最后，用原有的動(dòng)態(tài)匹配算法與改進(jìn)型動(dòng)態(tài)匹配算法做對比實(shí)驗(yàn)，對最終結(jié)果進(jìn)行對比分析。得出結(jié)論，采用新型動(dòng)態(tài)匹配算法的分布式網(wǎng)絡(luò)檢測系統(tǒng)對網(wǎng)絡(luò)安全防護(hù)的功能有明顯的提高。

關(guān)鍵詞：入侵檢測;Snort;APT;匹配算法

中圖分類號(hào)：TP393? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： This paper takes snort as the core and builds the defense system of APT attack-based intrusion detection module based on hierarchical distributed network， and proposes a new OTN dynamic matching algorithm. Firstly， the characteristics of APT attacks are introduced. Then a set of snort-based defense detection model for APT attacks is proposed. Based on the original three-step dynamic adjustment algorithm of snort， a new dynamic matching algorithm is proposed. Finally， a new dynamic matching algorithm is proposed. Using the original dynamic matching algorithm and the new dynamic matching algorithm to do the contrast experiment， the final result is compared and analyzed. and the conclusion is that the distributed network detection model using the new dynamic matching algorithm can better meet the needs of network security protection.

Key words：intrusion detection;Snort;APT;matching algorithm

隨著網(wǎng)絡(luò)技術(shù)的不斷革新，互聯(lián)網(wǎng)信息共享已經(jīng)成為了一種趨勢，但是，網(wǎng)絡(luò)信息攻擊也隨之而來，海量的用戶信息成為了不法分子謀取暴利的目標(biāo)，Google、Yahoo、Comodo等企業(yè)紛紛受到黑客攻擊，網(wǎng)絡(luò)安全令人擔(dān)憂。在眾多網(wǎng)絡(luò)攻擊中，APT（Advanced Persistent Threat）攻擊已經(jīng)成為網(wǎng)絡(luò)安全的最主要威脅，防火墻等傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)很難對其形成有效的防護(hù)。所以，對APT攻擊防御檢測系統(tǒng)的研究是十分重要的。

采用的Snort入侵檢測系統(tǒng)，該系統(tǒng)采用規(guī)則描述通信，通過獲取數(shù)據(jù)包，并提取數(shù)據(jù)包的特征，然后與規(guī)則文件的規(guī)則鏈表進(jìn)行匹配，以此來檢測數(shù)據(jù)包是否存在異常行為。然而snort入侵檢測系統(tǒng)在檢測階段花費(fèi)時(shí)間較長，這樣大大降低了系統(tǒng)的響應(yīng)處理效率。經(jīng)過研究發(fā)現(xiàn)，在檢測階段耗時(shí)最大的是在對規(guī)則文件（OTN）進(jìn)行匹配的過程，因此，優(yōu)化OTN匹配過程可以很大程度提高系統(tǒng)的響應(yīng)處理效率。

為了優(yōu)化OTN匹配過程，提出了一套新的動(dòng)態(tài)匹配算法。目前比較流行的動(dòng)態(tài)規(guī)則調(diào)整算法有一步動(dòng)態(tài)調(diào)整算法、兩步動(dòng)態(tài)調(diào)整算法、三步動(dòng)態(tài)調(diào)整算法和一些基于這些算法的改進(jìn)算法[1-3]。本文提出的算法就是在三步動(dòng)態(tài)調(diào)整算法的基礎(chǔ)上提出改進(jìn)，減緩規(guī)則鏈表大幅度更改鏈表順序，保障鏈表穩(wěn)定性，同時(shí)針對APT攻擊的大量重復(fù)性的特性，設(shè)置一個(gè)動(dòng)態(tài)檢測模塊，在OTN檢測前，與之前匹配成功的規(guī)則鏈表進(jìn)行匹配，這樣很大程度減少了重復(fù)攻擊的匹配次數(shù)，減少了匹配時(shí)間，提高系統(tǒng)響應(yīng)效率。

1? ?相關(guān)技術(shù)介紹

1.1? ?APT攻擊

APT（Advanced Persistent Threat）即高級持續(xù)性滲透性攻擊。從命名中可以看出該攻擊具有高級和持續(xù)兩個(gè)特點(diǎn)，高級是指該攻擊在入侵網(wǎng)絡(luò)的手段和方式復(fù)雜多變，防御難度較大，持續(xù)是指攻擊持續(xù)時(shí)間較長，造成的危害也較大。最早被人們熟知的一種APT攻擊為“震網(wǎng)”（sruxnet）病毒，該病毒爆發(fā)于2010年，已經(jīng)給多個(gè)國家造成巨大的損失。國際著名安全產(chǎn)品商趨勢科技在2013年發(fā)布了應(yīng)對APT攻擊的智慧防護(hù)策（Smart Protection Stratery），來防御APT攻擊。

經(jīng)過研究發(fā)現(xiàn)，APT攻擊通常是在宿主網(wǎng)絡(luò)內(nèi)利用漏洞植入木馬，長期潛伏在宿主網(wǎng)內(nèi)[4]。當(dāng)APT對網(wǎng)絡(luò)進(jìn)行攻擊時(shí)分為四個(gè)步驟：1.信息采集階段。在這個(gè)階段，攻擊發(fā)起者會(huì)利用各種工具對受攻擊者網(wǎng)絡(luò)系統(tǒng)中的所有可采集的信息進(jìn)行收集并整理分析，然后通過邏輯判斷，得到它所需要的有用信息。2.入侵期。攻擊發(fā)起者利用第一步采集的信息，繞開目標(biāo)網(wǎng)絡(luò)的網(wǎng)絡(luò)安全產(chǎn)品的檢測，進(jìn)入目標(biāo)網(wǎng)絡(luò)內(nèi)部，進(jìn)一步收集用戶的信息。3.潛伏期。APT攻擊潛伏在目標(biāo)網(wǎng)絡(luò)系統(tǒng)中，且不被安全檢測產(chǎn)品發(fā)現(xiàn)，在有需要時(shí)才激活進(jìn)行信息竊取。4.退出期。信息竊取結(jié)束后，退出目標(biāo)網(wǎng)絡(luò)，并清除攻擊痕跡，刪除相應(yīng)的日志文件，讓目標(biāo)網(wǎng)絡(luò)無法察覺，以便下次繼續(xù)攻擊。通過分析APT攻擊四個(gè)步驟，我們可以得出結(jié)論：大部分的入侵是在網(wǎng)絡(luò)中進(jìn)行的，因此對網(wǎng)絡(luò)流量進(jìn)行密切監(jiān)控和處理能在防御APT攻擊方面起到重要作用。

1.2? ?基于Snort的入侵檢測技術(shù)

入侵檢測系統(tǒng)技術(shù)是一個(gè)實(shí)時(shí)的安全檢測技術(shù)[5]，能夠?qū)W(wǎng)絡(luò)中異常行為做出告警。其中Snort是一個(gè)著名輕量級的開源網(wǎng)絡(luò)型入侵檢測系統(tǒng)（NIDS）。其具有結(jié)構(gòu)簡單，功能強(qiáng)大且對系統(tǒng)資源占用也較小等優(yōu)點(diǎn)，在后期經(jīng)過連續(xù)的改進(jìn)和功能不斷添加完善后，Snort已成為業(yè)內(nèi)主流的NIDS系統(tǒng)。

Snort總體結(jié)構(gòu)由預(yù)處理軟件模塊、檢測插件模塊和報(bào)警輸出模塊組成。主要功能包括：捕獲數(shù)據(jù)包、對捕獲的數(shù)據(jù)包進(jìn)行記錄和實(shí)時(shí)網(wǎng)絡(luò)入侵行為檢測[6]。當(dāng)Snort工作在NIDS模式下時(shí)，主控模塊完成各模塊的初始化，初始化結(jié)束后，系統(tǒng)開始抓包，解析模塊將抓取的數(shù)據(jù)包進(jìn)行解析，預(yù)處理模塊則負(fù)責(zé)對報(bào)文分片重組，然后就是Snort的核心模塊——檢測分析模塊進(jìn)行檢測匹配：檢測分析階段首先讀取Snort的規(guī)則文件，并使用三位鏈表的方式對規(guī)則文件進(jìn)行解析[7]，生成相應(yīng)的規(guī)則鏈，然后進(jìn)行匹配。最后根據(jù)匹配的結(jié)果，響應(yīng)輸出模塊會(huì)產(chǎn)生響應(yīng)的結(jié)果反饋給管理人員。Snort工作流程如圖1所示。

2? ?基于OTN匹配算法的優(yōu)化

基于Snort構(gòu)建的檢測防御系統(tǒng)在處理異常數(shù)據(jù)包時(shí)，由于其處理方面單一的特點(diǎn)，處理時(shí)間會(huì)非?？焖?，然而，在檢測階段所花費(fèi)的時(shí)間會(huì)比較長，其中，數(shù)據(jù)包匹配過程耗時(shí)最多[8]。通過研究發(fā)現(xiàn)，在數(shù)據(jù)包匹配過程，很大一部分的時(shí)間花費(fèi)在OTN（規(guī)則選項(xiàng)）匹配過程，占整個(gè)過程的31%[9]。因此，本文主要對OTN匹配算法進(jìn)行優(yōu)化，減少對OTN的匹配時(shí)間，通過優(yōu)化匹配算法提高系統(tǒng)的性能。

2.1? ?基于靜態(tài)的規(guī)則調(diào)整算法

靜態(tài)的規(guī)則調(diào)整算法[10]是目前減少重復(fù)性O(shè)TN匹配過程的主流方案之一。該算法主要是采用統(tǒng)計(jì)分析Snort檢測日志中對各個(gè)規(guī)則的匹配頻率，然后根據(jù)正態(tài)分布的方式來調(diào)整OTN在規(guī)則鏈表中的順序，使匹配頻率高的OTN的位置提前。這種算法一定程度上優(yōu)化了系統(tǒng)性能，然而，該算法的時(shí)效性很低，在APT攻擊發(fā)生改變時(shí)，無法滿足用戶對系統(tǒng)的要求。

2.2? ?改進(jìn)型三步動(dòng)態(tài)規(guī)則調(diào)整算法

動(dòng)態(tài)的規(guī)則調(diào)整算法就是在Snort運(yùn)行過程中，根據(jù)實(shí)時(shí)OTN匹配頻率動(dòng)態(tài)的調(diào)整規(guī)則鏈表中對應(yīng)的OTN節(jié)的位置，減少OTN匹配過程，因?yàn)楦姆椒〞r(shí)實(shí)時(shí)調(diào)整的，所以具有很強(qiáng)的時(shí)效性。

采用動(dòng)態(tài)的規(guī)則調(diào)整算法的思路，提出一種改進(jìn)型的三步動(dòng)態(tài)調(diào)整算法，圖2為Snort規(guī)則三層鏈表：

如圖2所示，Snort是通過規(guī)則來描述通信，規(guī)則根據(jù)響應(yīng)動(dòng)作生成不同鏈表頭，來決定匹配過程結(jié)束后采取的動(dòng)作。如log類型匹配過程結(jié)束后，會(huì)記錄在相應(yīng)的日志文件里面。然后根據(jù)協(xié)議類型生成對應(yīng)的規(guī)則樹節(jié)點(diǎn)。規(guī)則樹節(jié)點(diǎn)包含規(guī)則頭部（RTN）、規(guī)則選項(xiàng)（OTN）和函數(shù)指針。進(jìn)行規(guī)則匹配時(shí)先進(jìn)行RTN匹配，然后進(jìn)入OTN匹配過程。改進(jìn)型算法是在RTN匹配和OTN匹配過程中間加入特征參數(shù)匹配（SV）以及異常OTN節(jié)點(diǎn)（EV）匹配兩個(gè)匹配過程。

第一步：在進(jìn)行RTN匹配過程后，在Snort算法基礎(chǔ)上，使用寬度優(yōu)先算法。經(jīng)過對大量規(guī)則文件的整理分析，提取出規(guī)則文件具有的相同值（特征參數(shù)），然后在RTN節(jié)點(diǎn)和OTN節(jié)點(diǎn)之前添加一個(gè)新的數(shù)據(jù)結(jié)構(gòu)SameValue（SV），將提取的特征參數(shù)存儲(chǔ)到該數(shù)據(jù)結(jié)構(gòu)中。這樣在匹配過程，Snort檢測模塊會(huì)在進(jìn)行OTN匹配之前先進(jìn)行SV匹配，若在此過程觸發(fā)了告警，則不需要進(jìn)行OTN匹配，若未發(fā)生告警，則進(jìn)入下個(gè)匹配過程。

第二步：在SV和OTN節(jié)點(diǎn)中間添加一個(gè)數(shù)據(jù)結(jié)構(gòu)EV（ErrorValue），并給該數(shù)據(jù)結(jié)構(gòu)建立一個(gè)相應(yīng)的索引節(jié)點(diǎn)。用來存儲(chǔ)上一次匹配過程中匹配成功且匹配次數(shù)小于2的OTN節(jié)點(diǎn)。匹配初始化時(shí)該存儲(chǔ)單元清零，當(dāng)后續(xù)OTN匹配過程中匹配成功后，匹配成功的OTN節(jié)點(diǎn)被該數(shù)據(jù)結(jié)構(gòu)的索引指針定位，下次匹配時(shí)在OTN匹配前進(jìn)行EV匹配，若匹配成功則觸發(fā)告警，若未發(fā)生告警則進(jìn)入下個(gè)匹配過程。

第三步：給每一個(gè)OTN節(jié)點(diǎn)建立一個(gè)相對應(yīng)的索引節(jié)點(diǎn)，構(gòu)造與規(guī)則鏈表一一對應(yīng)的索引鏈表結(jié)構(gòu)，在進(jìn)入OTN匹配過程時(shí)，將根據(jù)索引鏈表進(jìn)行匹配，當(dāng)OTN節(jié)匹配成功，則檢查該規(guī)則的匹配頻率，若匹配頻率為3，則匹配頻率不變，該OTN節(jié)對應(yīng)的索引位置調(diào)到索引鏈表首部，并將EV的定位指針指向該OTN節(jié)點(diǎn);若匹配頻率為2，匹配頻率加1，該OTN節(jié)對應(yīng)的索引位置調(diào)到索引鏈表首部，并將EV的定位指針指向該OTN節(jié)點(diǎn);若匹配頻率為1，匹配頻率加1，該OTN節(jié)對應(yīng)的索引位置調(diào)到當(dāng)前位置的1/2，并將EV的定位指針指向該OTN節(jié)點(diǎn);若匹配頻率為0，匹配頻率加1，該OTN節(jié)對應(yīng)的索引位置調(diào)到當(dāng)前位置的2/3，并將EV的定位指針指向該OTN節(jié)點(diǎn)。算法流程圖如圖3所示：

改進(jìn)型的的三步動(dòng)態(tài)調(diào)整算法，在針對APT大量重復(fù)性攻擊的方面有著自己的優(yōu)勢：1.通過設(shè)置的SV節(jié)點(diǎn)，該節(jié)點(diǎn)存儲(chǔ)了大部分規(guī)則文件的特征參數(shù)，在進(jìn)行OTN匹配過程前進(jìn)行SV匹配，這樣減少了OTN的匹配過程;2.三步調(diào)整算法雖然減緩OTN對應(yīng)索引在索引鏈表的上升到首位的速度，增強(qiáng)了鏈表的穩(wěn)定性。然而，經(jīng)過對大量入侵信息統(tǒng)計(jì)并分析，我們發(fā)現(xiàn)，在面對網(wǎng)絡(luò)攻擊時(shí)，在一時(shí)間段內(nèi)，系統(tǒng)受到的攻擊基本以同一類型的攻擊為主，原來的三步調(diào)整算法每次依然從鏈表的首位開始檢測，會(huì)產(chǎn)生大量重復(fù)匹配過程，影響系統(tǒng)性能。而改進(jìn)型動(dòng)態(tài)三步調(diào)整算法，在原三步動(dòng)態(tài)調(diào)整算法基礎(chǔ)上，增加了EV節(jié)點(diǎn)，用于存儲(chǔ)前一次匹配過程中匹配成功的OTN節(jié)，這樣在下一次匹配中若是相同類型的攻擊，則會(huì)在EV匹配中直接檢測出異常。改進(jìn)型三步動(dòng)態(tài)調(diào)整算法有兩個(gè)優(yōu)點(diǎn)：1.在一次匹配成功后，將匹配成功的OTN節(jié)點(diǎn)存貯在EV節(jié)點(diǎn)里面，這樣相同類型的攻擊，在進(jìn)行EV檢測時(shí)就會(huì)檢測出來，避免了大量的重復(fù)性檢測，大大提高系統(tǒng)性能;2.再三步動(dòng)態(tài)規(guī)則匹配算法基礎(chǔ)上，進(jìn)一步減緩了OTN節(jié)點(diǎn)上升的步伐，加強(qiáng)了索引鏈表的穩(wěn)定性，同時(shí)提升了系統(tǒng)處理網(wǎng)絡(luò)攻擊檢測的效率。

3? ?實(shí)驗(yàn)驗(yàn)證

3.1? ?算法改進(jìn)后系統(tǒng)功能測試

本實(shí)驗(yàn)?zāi)康脑谟跈z測改進(jìn)型三步動(dòng)態(tài)匹配算法對Snort檢測系統(tǒng)優(yōu)化的效果。實(shí)驗(yàn)中需要對Snort的檢測時(shí)間進(jìn)行統(tǒng)計(jì)分析，因此需要保證實(shí)驗(yàn)數(shù)據(jù)源的統(tǒng)一性和豐富性，為此我們選擇kdd99數(shù)據(jù)集作為實(shí)驗(yàn)數(shù)據(jù)源。在安裝Snort引擎的終端上通過命令讀取Kddcup99文件進(jìn)行測試。實(shí)驗(yàn)時(shí)Snort檢測系統(tǒng)分別采用三步動(dòng)態(tài)調(diào)整算法和改進(jìn)型三步動(dòng)態(tài)調(diào)整算法進(jìn)行入侵匹配，并采用多次測試，將實(shí)驗(yàn)所用的數(shù)據(jù)分為12份，每份包含1000個(gè)待檢測的數(shù)據(jù)包，分析比較兩種算法下系統(tǒng)檢測消耗的時(shí)間。如圖4所示：

從實(shí)驗(yàn)結(jié)果可以看出，Snort的規(guī)則匹配算法采用改進(jìn)型三步動(dòng)態(tài)匹配算法后，系統(tǒng)對數(shù)據(jù)包處理的熟慮有明顯的提高。對12次實(shí)驗(yàn)得出的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)可以看出。系統(tǒng)采用未改進(jìn)的三步動(dòng)態(tài)匹配算法所用的處理時(shí)間平均為56.950 s，采用改進(jìn)型動(dòng)態(tài)匹配算法所用處理時(shí)間平均為54.892 s，時(shí)間減少約3.6%，由此，可以證明Snort系統(tǒng)采用的改進(jìn)型三步動(dòng)態(tài)匹配算法是比較成功的。

3.2? ?算法改進(jìn)后系統(tǒng)性能測試

對入侵檢測系統(tǒng)的性能評估主要以兩個(gè)個(gè)因素作為評估標(biāo)準(zhǔn)，即誤報(bào)率和漏報(bào)率。由于吞吐量在一定程度上標(biāo)示了檢測系統(tǒng)的負(fù)載能力，吞吐量過低也會(huì)影響系統(tǒng)的漏報(bào)率，所以，系統(tǒng)的吞吐量也應(yīng)列入評估系統(tǒng)性能的標(biāo)準(zhǔn)中。

本實(shí)驗(yàn)依然使用kdd99數(shù)據(jù)集作為實(shí)驗(yàn)測量的數(shù)據(jù)源，在Linux環(huán)境下安裝Tcpreplay工具，用于回放實(shí)驗(yàn)數(shù)據(jù)集。使用部署了改進(jìn)型三部動(dòng)態(tài)匹配算法的Snort引擎的入寢檢測系統(tǒng)以及部署未改變算法的Snort引擎的入侵檢測系統(tǒng)，接收并處理由數(shù)據(jù)源傳播過來的數(shù)據(jù)，統(tǒng)計(jì)分析系統(tǒng)的誤報(bào)率、漏報(bào)率以及吞吐量信息。

如圖5所示，對測試對比結(jié)果分析可知，使用改進(jìn)型三步動(dòng)態(tài)匹配算法的檢測系統(tǒng)，在漏報(bào)率方面有明顯的提高，在誤報(bào)率方面提高不是很明顯，在吞吐量方面則有非常明顯的提升。從整體來看，我們對匹配算法的優(yōu)化減少了匹配過程，優(yōu)化了入侵檢測系統(tǒng)的性能。

4? ?結(jié)論

基于Snort引擎的入侵檢測系統(tǒng)，具備對網(wǎng)絡(luò)流量進(jìn)行入侵檢測、分析以及鑒別功能并對異常行為做出告警。針對Snort采用將特征與異常行為進(jìn)行匹配的檢測機(jī)制，提出的改進(jìn)型三步動(dòng)態(tài)匹配算法主要在兩個(gè)方面提高系統(tǒng)功能：1.減少了規(guī)則匹配過程，使系統(tǒng)能快速檢測處網(wǎng)絡(luò)攻擊，提高了系統(tǒng)得功能效率;2.算法改進(jìn)后，系統(tǒng)的漏報(bào)率以及吞吐量有明顯的優(yōu)化，系統(tǒng)的性能也得到一定的提高。實(shí)驗(yàn)證明改進(jìn)的算法提高了檢測系統(tǒng)的效率，更好的保障了處于APT攻擊威脅的網(wǎng)絡(luò)的安全性。

匹配算法是提高Snort檢測效率的一個(gè)重要因素，減少匹配過程，快速將匹配結(jié)果傳遞給系統(tǒng)是Snort發(fā)展的一個(gè)重要方向。未來Snort會(huì)采用更有效率的檢測技術(shù)，如神經(jīng)網(wǎng)絡(luò)技術(shù)、云計(jì)算技術(shù)等，這些技術(shù)會(huì)將提高Snort系統(tǒng)的性能，提高入侵檢測系統(tǒng)的效率，更好的保護(hù)網(wǎng)絡(luò)資源，給用戶一個(gè)安全的網(wǎng)絡(luò)環(huán)境。

參考文獻(xiàn)

[1]? ? LI F，LAI A，DDL D. Evidence of advanced persistent thread：a case study of malware for political espionage[J]. Malicious and Unwanted Software（MALWARE），2011：102—109.

[2]? ? SHAS S，ISSAC B. Performance comparison of intrusion detection systems and application of machine learning to Snort system[J]. Future Generation Computer Systems，2018，80：157—170.

[3]? ? 韓國華. Snort入侵檢測系統(tǒng)規(guī)則匹配算法研究[D]. 重慶：重慶大學(xué)，2012，1—56.

[4]? ?楊軍. APT攻擊技術(shù)及其安全防護(hù)研究[A]. Information Engineering Research Institute，USA.Proceedings of 2012 International Conference on Earth Science and Remote Sensing（ESRS 2012）[C].Information Engineering Research Institute，USA：Information Engineering Research Institute，2012：930—935.

[5]? ? 李偉.入侵檢測技術(shù)在計(jì)算機(jī)網(wǎng)絡(luò)安全維護(hù)中運(yùn)用[J]. 國際公關(guān)，2019（06）：210.

[6]? ? 盧榮.基于Snort的分布式入侵檢測系統(tǒng)[J]. 信息系統(tǒng)工程，2015（01）：134—135.

[7]? ? 靳守業(yè). 面向輕量級入侵檢測系統(tǒng)性能優(yōu)化研究[D].國防科學(xué)技術(shù)大學(xué)，2014.

[8]? ? 鞏書麗. IDS中高效字符串匹配算法的研究與應(yīng)用[D]. 沈陽：東北大學(xué)，2010.

[9]? ? 王會(huì)霞，成國永，韓永飛. 提高Snort規(guī)則匹配速度方法的研究[J]. 電腦與信息技術(shù)，2013（1）：30—33.

[10]? 周延森. 網(wǎng)絡(luò)入侵檢測匹配規(guī)則庫的動(dòng)態(tài)調(diào)整算法的研究[A]. Intelligent Information Technology Application Association. Proceedings of the 2011 International Conference on Software Engineering and Multimedia Communication（SEMC 2011 V1）[C]. Intelligent Information Technology Application Association：智能信息技術(shù)應(yīng)用學(xué)會(huì)，2011.