一种检测模式过滤器的研究与
设计
领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计
本文由xdh9uvyzvk贡献
pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。
, ? ,
,, , , , ,, , , ,, ,, ,, (, , , ,
一
种检 测模 式过滤 器 的研 究与设 计
王 斌
( 天津外 国语 学院 国 际商 学院 ,天津 ,,, ) ,, ,
摘 要 :简要介绍 了入侵检测 系统模型及人 工免 疫在入侵检测技 术上的应用 ,分析 了影响 ,, ,系统 的检 测元检 测效 ,,
率 的 原 因 , 出 了一 个设 置过 滤 器 的解 决 方 案 , 细 描 述 了过 滤 算 法 , 以具 体 实验 结 果 作 了定量 分 析 。 提 详 并
关键 词 :入 侵 检 测 ;人 工 免 疫 ;检 测 元 ;模 式 过 滤
, 引 言
传统入侵检 测模型 大体 上可 以分为基于误 用的入侵检 测 模 型和基于异常的入侵检 测模型两种 。 异常检测系统试图发现一些未知的入侵行为。异常检测根 据使 用者 的行为或资 源使 用状况来 判断是否入侵 , 而不依据 具 体 行为是否 出现作 判断 , 其主要 缺陷在于误检 率很高 , 尤其在
用户数 目众 多或工作行为经常改变的环境 中。
针对上述 问题 , ,, , 和 , , ,模拟人体免 疫系统提 ,, ,,, ,, , ,
出了基于免 疫原理的负选 择模型 : 首先 定义一个 ,,集 ( ,, 简单
的正常模式集 , 其中所有模式 可以理解 为正常网络行为 )随机 , 产生若干检测元 ( 抗体 ) ,清 除会 对 ,,集产生警报 的检测元 ,,
( 此过程称 为阴性选择 )然后通过 阴性选择 的检 测元开始探查 ,
网络 上的信息 ( 此时可以理解为在做异常检测 ) 。如发现属于 ,, ,,集的事件则预警 , 查系统是 否发 生损害 , ,, , 检 若无 则可理
误用检 测系统则用来发现一些已知的入侵行为 。 用检测 解为正常事件 , 误 将此 事件记入 ,,集 , , , 该检测元 自行消亡 ( 这样 ; 则视为遭受入侵 , 激活 该检测元 , 又称特 征检 测 , 依据具体特 征库进行 判断 , 从而检测 出入侵行 就避免 了误检 的产 生)反之 , 为。 其主要缺陷是只能检测特征库 中已知的入侵 , 率很 高。 漏检 本文在模型 分析 的基础 上 , 通过模式过 滤器设置 , 来提 高系统
检 测效 率 。
将入侵行为特 征计入特征库 , 检测元升级为误用( 记忆) 检测元 ,
检测具有该特 征的入侵行为 。 这样既解决 了误检的问题又将异
常和误用两种检测模型完美地结 合起 来。 其检 测元生成算法可以归结如下( 见图 , : )
, 两种模 型 的整合
为使检测 系统达到较好 的检测效果 , 目前普遍的解决方式 是同时在 系统 中采用两种检测模型 , 实现优势互补 。通常 采用 的兼用两种模型 的办法是并行地施行两套检测措施 ( 即对待检 信息分别进行误用和异常检测 )而采用 的检测算法 大致包 括 : ,
基于误 用的 , 家系统 、 专 模型推理方 法 、 态转换 分析 ; 状 基于异
( 定义一个 自 , ) 我模式集作为生成有效检 测元的训练集 ;
()产生候选检测元 。通过一个随机过程来 产生一个长度 , 为, ,位的位 串作
为候选检测元 ;
( 产生有效检测元集合 , 将产生的候选检测元与 自我集 , ) , 中的模式进行匹配试验。若匹配 , 则丢弃该候选串, 回( ; 返 , 否则 ) 该候选检测元就是一个有效的检测元 , 进入 ,集合, 回( ; 返 , )
() , 重复() , ,, ) 产生一定数量的有效检测元为止 。 ( 直到
常 的, 统计学方 法 、 神经网络方 法 。这些方 法都存在 一定的缺
陷, 尤其是在效率上 ; 而且每一种方法都独成一体 , 很难整合 。
当从客 户端提 交一个作 业时 ,网格对客 户进行 身份 验证 , 并为此次调用生成一个 实例 。分形 工作流 引擎将作业放入任 务
参考 文献 :
【, 『 , ,,, ,,, , — ,,,,,, , , ,,,(,, , ,, ,;,, , , ,, , ,,,, , , , ,, ,, , ; 【,, ,, , , , , , ,, ,, ,,, ,, , ; , ,, , , ,( ,, , , , , , , ,,, , , , ,,,, ,
, , (,, , , ,, () , ,
表中, 作业所有 需要具备的输入文件都可以通过 ,, ,( , , , ,, , , ,
,, ,, , ,,,,,) , ,,, ,, , , , ; 来传输 、 定位给必要 的角色 。网格 的资源 管理器可以动态地发现空 闲的存储空 间、 , , ,资源 ,执行作业
【】董红 召(行 业型企 业联盟及其 分形 网络协 作理论 与方 法的研 究【】 , ,(
浙 江大 学博 士 论 文 ,, , ,,
的调度 、 分配任 务 , 作业分解成若 分形 , , , 将 , ,, , 。由网格 调度 器调度 分形资源 , 以并 行执行任务 , 由分形工作流 的监视 可 并
工具监视 、 告作业 的执行情 况 , 报 必要时可 以调度网格 分配的
【】王凯, , 白庆华( 面向对 象工作 流管理 系统模型 设计【 计算机 应 用 , 】 研
究(, ,, ( :, , , , (, , ) , , ,,
虚拟空 间和 计算能力 ,因此也适合 大流量 的分形 工作流 的执
行, 并发控制。
,】,,, , ,,,, ,,, , ,, ,, , ,,, ; , , ,, , , ,( ,,,, , ,,,, , ,, ,, , , , , ,, , ,, , , , , , , , ( ,, ; ,, , ,, , , — , , , , ,, ,; ,, , ,, ,, , , , , ,, ,, ,,, , , , ,
, , ,,
, 结束语
本文提 出了基于网格 的分形工作流管理系统 ,对其 流程 、 体系结构和优点进行了研究 , 所述技术已经在第三方物流系统
【 , , , (, , , , ,著, , , ,, ,, , , , , 】 陈守吉, 复华译 文 自然的 分形 几 凌
何 学【 ( ,, 上海远 东出版社,, , ,, (
,】, , ,,, , , , , , ,, ,,乙 , ,( , ,,, ,, , ; ,,,, , , , , , , ,, ,
中初步实现 , 取得了更好的效果 。
,,【 , ,,,,,) ,, 绷 ,,, , (( , 】 。 ,,,, , , , :
计 算机 时代 , , , ,年 第 , ,期
,? ,
用该 , ,替换 , , , , ,, , , , , , ; , , , , , ,, ,, , , , , , , ; , , , ,) , , ( ,
‘
,, , ,, ,
()对 , , ,, 的记录按 , ;, , , 的进行降序排序 ; , ,,, , , ;,, , , ,
图 , 检测元生成算 法图示
()转() , ,。
算法 , 正常模式过滤算法 : ()采集数据模式 ,; ,
算 法产生的有 效检 测元 集能够保证 其中的每 个检 测元都 不 与自我集的任何模式相 匹配。系统 将流经 网络 的报文抽取 出
的数据特征组成模式集合 , 称为待检测模式集 。
() ,与 , , ,, 中 , ;, , , 最 大的 ,个 ,,进 ,令 ,,, , , ;,, , , ,
行匹配 ,
( 配 成 功 ,匹
丢弃,
,, ,,
, 检 测效 率分 析
在上述 算法的基础 上 , ,, , 提 出了一个分 布式 网络 ,, ,,, 入侵检测模 型 ,, , ,, 。系统将 流经 网络 的报文抽取 出的数据特 征组成模式集合 , 称为待检测模式集 。, , ,,,的每 一个 节点上
的检 测系统是通过 该节点 的检测元 与待检测模式 之间 的匹配
通 过 过 滤 器
,, ,
来完成模式识别或检测功能 。 待检测模式从流经网络的数据包抽取取得 , 分为正常 模式 ( 非入侵行为) 和异常模式两种 。 在通常 情况 下 , 网络 中绝大部分 是使用 类似 于免疫细胞 自我 耐受 过程 的否定选择 算法来产 生 的, 且这些检测元 还具有一 定的生命 周期 , 因此 由检 测元构 成 的检测元集具有动态性 。 检测元集的动态性决定了其中的检 测 元是顺序存储的 , 识别 时只能将待检 测模 式与检测元集 中的检 测元进行顺序比较 。
从 否定选择算法 中可 以看出 , 检测元在生 成过 程 中要经 历
一
()转 () , ,。
, 实 验数 据
通 过 对 , ,,,, , (, ( ,网段 的 , ,, , , , ,,三 个 节点 ,天的 实 统 计策略 : 计正常 模式 ( )对 ,,,, 统 ,, , ,, ,个 ,,赋 匹配 计数 , 过滤计数最 大的前 ,个 , , , 以减少 ,,与成熟检 测元的 匹配次数 , 高系统 效率 。实验数据如表 , 其中 ,,,,, , 提 , ,, , , ,
,,, , , 节点检测元总数 , , 。 ,,
取得如下数据 : 数据都是正常数据 , 异常或 入侵行为只 占少数 。而有效检测 元 验 ,
表 , 过滤开销对 比结 果
相关参数
, ,, ,, ,,,
, ,,, , ; , , , , , , ,
第一天
, ,
, , ,
第二天
,, ,
,, ,
第三天
,
, , ,
个类似于人体免疫 耐受 的审查过程 , 只有 与 自我集的任何模
式 都不 匹配 的检 测元才会成 为有效检 测元 , 这样 , 正常 模式一 定不与检测元集中的元素 匹配 。使每一个 正常模式 都必须与 每
一
,,,, ,,, , ; , ,, ,, , , , ,,, ,
,,, , , ,, ,, , ,, , , , ,
, ,, , ,
,, , ,( ,,
,, ,, ,
,, ,, ,, ,
, ,, ,
, , ,, ,
个成熟检测元进行 比较 、 试验匹配 , 是一种无效冗余 , 将严重
降低系统的检测效率 。
, 模 式过滤 器
针对正常模式无效比较 的问题 , 本文提出统计 出现 频率高 的正常 模式集 ,设置一个过 滤器将大 部分正常模 式预先过 滤 掉, 然后再 由有效 检测元对 剩下 的模 式进行 匹配 , 从而达 到提
升系统效率 的 目的。 模式过滤器算法如下 :
其 中:
,, , ,, ,,, ; ,, , ,, , ,, , ,, , , ,,, ,, , , ,, , , ,,,, ,, , , ,, ,,, ,, , ,, , , ,,
,,,, ,,, ,,, ,,,,,, , , , ,, ,;, ,,( , , ,, , ,, , , , , ; , , , ,) , , , , , ,, , ,, ,
,,, , ,, , , ,, ,; ,,, , ,,,, , ,, , , ,, ,, , , ,, , , , , , , , ;,, ,, , ,,,,,,, ,, ,, , ,,,,,,, ,,,, ,, , , ,, , ,,, , , ,,
, ,,,,, ,, , ,; ,,, , ,, ,,, ,
算法 , 正常模式收集算法 : ()采集正常模式 ; , ()将采集 到的正常模式 ,,加入正常模 式集 , , ,,。 , ,,, , ,
, , , , , (,, ,, , , ( , , ,,, , , , , ,, 则 ,
, ,,? ,,, , ,,, , ,,
, 结束 语
由实 验数据分析可 以看 出, 过滤器过滤正常模式 的开 销与
成熟 ( 有效 ) 元对 正常模式 的匹配操作 的开销 比率 ,, 不 检测 ,, ,
超过 , ,。说明 , 通过 设置模式过滤器 , 以有效 降低 系统 因正 可 常模式 的匹配操作而产生的开销。
参考 文献 :
【】,,,, ,, ,,,,, , , , , , ,,(,,,,; , , , , ,,, , , ; , , , ,, , ,,; , ,,, , ,, , , ,
该 ,,的 访 问 计数 , ; , , , , , ;, , , , 增
,,, ,
将 ,,加 入 , , ,, , ,,的访 问 计数 , ; , , , , , ,,,, ,该 ;, , , , 增
,, , ,, ,,
, ,, , ,,,, , ,, ,, ,, , (() , , ,,, , ,, ,, ,, ,,, ,, , ,,: , , , , , 【】,,,, , ,, ,,, ,, , ,,, , ,,,, ,, ,;,, , , ,,,( , , , ,,; , , , , ,, ,,, , , , , , ,
, , ,, ,,, , ,, , , , ,, , , ,, , ; ,, , , , , ,, ,,,,, ; , , , ,, ,,,, , , , ,, ,, ,
, , ,, ? ,, , ,,, , , ,
该 , 的访 问计 数 , ; , , , , , , ;, , , , 增
,,, ,
;, “ ,, , ’, ,帆 , , , , ,; , , , ;, ; ? , , , ,, , , , ( , ,
本TXT由“文库宝”下载: