基于證據(jù)推理的入侵檢測模型.pdf

1、現(xiàn)有的入侵檢測系統(tǒng)分別基于濫用檢測技術(shù)(Misuse detection)和異常檢測技術(shù)(Anomaly Detection).濫用檢測采用的是特征檢測的方法,實現(xiàn)較為簡單,判斷的準(zhǔn)確性較高,但是不能判斷一些經(jīng)過偽裝的入侵或特征庫中尚未包含的入侵,異常檢測能夠根據(jù)以往記錄的特征平均值,判斷出異常情況,但是對于異常到什么程度才視為入侵,這個閥值非常難以確定,閥值設(shè)定的太高,有可能漏過真正的入侵,如果設(shè)定的閥值太低,又會產(chǎn)生較高的誤警率,而

2、且這個閥值因人而異,因時而異,因此現(xiàn)在的入侵檢測系統(tǒng)把這部分異常記錄以一定的形式顯示出來或通知管理人員,交給管理人員去判斷,而這些IDS系統(tǒng)難以判斷的記錄,如果對每個證據(jù)單獨地進行觀察,可能是難以判斷是否是入侵,而把許多先后證據(jù)關(guān)聯(lián)起來,專家或管理人員根據(jù)經(jīng)驗?zāi)軌蚺袛嘣L問的合法性,該文試圖引入人工智能中證據(jù)理論的推理策略和示例學(xué)習(xí)方法,代替人工檢查分析,可以提高效率,降低誤警率,并可以對一個正在進行得可疑訪問實現(xiàn)實時檢測,通過搜索及時判