一种检测模式过滤器的研究与设计

一种检测模式过滤器的研究与 设计 领导形象设计圆作业设计ao工艺污水处理厂设计附属工程施工组织设计清扫机器人结构设计 本文由xdh9uvyzvk贡献 pdf文档可能在WAP端浏览体验不佳。建议您优先选择TXT，或下载源文件到本机查看。 , ? , ,, , , , ,, , , ,, ,, ,, (, , , , 一 种检 测模 式过滤 器 的研 究与设 计 王 斌 ( 天津外 国语 学院 国 际商 学院 ，天津 ,,, ) ,, , 摘 要 :简要介绍 了入侵检测 系统模型及人 工免 疫在入侵检测技 术上的应用 ，分析 了影响 ,, ,系统 的检 测元检 测效 ，, 率 的 原 因 ， 出 了一 个设 置过 滤 器 的解 决 方 案 ， 细 描 述 了过 滤 算 法 ， 以具 体 实验 结 果 作 了定量 分 析 。 提 详 并 关键 词 :入 侵 检 测 ;人 工 免 疫 ;检 测 元 ;模 式 过 滤 , 引 言 传统入侵检 测模型 大体 上可 以分为基于误 用的入侵检 测 模 型和基于异常的入侵检 测模型两种 。 异常检测系统试图发现一些未知的入侵行为。异常检测根 据使 用者 的行为或资 源使 用状况来 判断是否入侵 ， 而不依据 具 体 行为是否 出现作 判断 ， 其主要 缺陷在于误检 率很高 ， 尤其在 用户数 目众 多或工作行为经常改变的环境 中。 针对上述 问题 ， ,, , 和 , , ,模拟人体免 疫系统提 ,, ,,, ,, , , 出了基于免 疫原理的负选 择模型 : 首先 定义一个 ,,集 ( ,, 简单 的正常模式集 ， 其中所有模式 可以理解 为正常网络行为 )随机 ， 产生若干检测元 ( 抗体 ) ，清 除会 对 ,,集产生警报 的检测元 ,, ( 此过程称 为阴性选择 )然后通过 阴性选择 的检 测元开始探查 ， 网络 上的信息 ( 此时可以理解为在做异常检测 ) 。如发现属于 ,, ,,集的事件则预警 ， 查系统是 否发 生损害 ， ,, , 检 若无 则可理 误用检 测系统则用来发现一些已知的入侵行为 。 用检测 解为正常事件 ， 误 将此 事件记入 ,,集 ， , , 该检测元 自行消亡 ( 这样 ; 则视为遭受入侵 ， 激活 该检测元 ， 又称特 征检 测 ， 依据具体特 征库进行 判断 ， 从而检测 出入侵行 就避免 了误检 的产 生)反之 ， 为。 其主要缺陷是只能检测特征库 中已知的入侵 ， 率很 高。 漏检 本文在模型 分析 的基础 上 ， 通过模式过 滤器设置 ， 来提 高系统 检 测效 率 。 将入侵行为特 征计入特征库 ， 检测元升级为误用( 记忆) 检测元 ， 检测具有该特 征的入侵行为 。 这样既解决 了误检的问题又将异 常和误用两种检测模型完美地结 合起 来。 其检 测元生成算法可以归结如下( 见图 , : ) , 两种模 型 的整合 为使检测 系统达到较好 的检测效果 ， 目前普遍的解决方式 是同时在 系统 中采用两种检测模型 ， 实现优势互补 。通常 采用 的兼用两种模型 的办法是并行地施行两套检测措施 ( 即对待检 信息分别进行误用和异常检测 )而采用 的检测算法 大致包 括 : ， 基于误 用的 ， 家系统 、 专 模型推理方 法 、 态转换 分析 ; 状 基于异 ( 定义一个 自 , ) 我模式集作为生成有效检 测元的训练集 ; ()产生候选检测元 。通过一个随机过程来 产生一个长度 , 为, ,位的位 串作 为候选检测元 ; ( 产生有效检测元集合 , 将产生的候选检测元与 自我集 , ) ， 中的模式进行匹配试验。若匹配 ， 则丢弃该候选串， 回( ; 返 , 否则 ) 该候选检测元就是一个有效的检测元 ， 进入 ,集合， 回( ; 返 , ) () , 重复() , ,， ) 产生一定数量的有效检测元为止 。 ( 直到 常 的， 统计学方 法 、 神经网络方 法 。这些方 法都存在 一定的缺 陷， 尤其是在效率上 ; 而且每一种方法都独成一体 ， 很难整合 。 当从客 户端提 交一个作 业时 ，网格对客 户进行 身份 验证 ， 并为此次调用生成一个 实例 。分形 工作流 引擎将作业放入任 务 参考 文献 : 【, 『 , ,,, ,,, , — ,,,，,, , , ,,,(,, , ,, ,;,, , , ,, , ,,,, , , , ,, ,, , ; 【,, ,, , , , , , ,, ,, ,,, ,, ， ; , ,, , , ,( ,, , , , , , , ,,, , , , ,,,, , , , (,, , , ,, () , , 表中， 作业所有 需要具备的输入文件都可以通过 ,, ,( , , , ,, , , , ,, ,, , ,,,,,) , ,,, ,, , , , ; 来传输 、 定位给必要 的角色 。网格 的资源 管理器可以动态地发现空 闲的存储空 间、 , , ,资源 ，执行作业 【】董红 召(行 业型企 业联盟及其 分形 网络协 作理论 与方 法的研 究【】 , ,( 浙 江大 学博 士 论 文 ，, , ,, 的调度 、 分配任 务 ， 作业分解成若 分形 , , , 将 , ,, , 。由网格 调度 器调度 分形资源 ， 以并 行执行任务 ， 由分形工作流 的监视 可 并 工具监视 、 告作业 的执行情 况 ， 报 必要时可 以调度网格 分配的 【】王凯， , 白庆华( 面向对 象工作 流管理 系统模型 设计【 计算机 应 用 , 】 研 究(, ,, ( :, , , , (, , ) , , ,, 虚拟空 间和 计算能力 ，因此也适合 大流量 的分形 工作流 的执 行， 并发控制。 ,】,,, , ,,,, ,,, , ,, ,, , ,,, ; , , ,, , , ,( ,,,, , ,,,, , ,, ,， , , , , ,, , ,, , , , , , , , ( ,, ; ,, , ,, , , — , , , , ,, ,; ,, , ,, ,, , , , , ,, ,, ,,, , , , ， , , ,, , 结束语 本文提 出了基于网格 的分形工作流管理系统 ，对其 流程 、 体系结构和优点进行了研究 ， 所述技术已经在第三方物流系统 【 , , ， (, , , , ,著， , , ,, ,, , , , , 】 陈守吉， 复华译 文 自然的 分形 几 凌 何 学【 ( ,, 上海远 东出版社，, , ,, ( ,】, , ,,, , , , , , ,, ，,乙 , ,( , ,,, ,, , ; ,,,, , , , , , , ,, , 中初步实现 ， 取得了更好的效果 。 ,,【 , ,,,,,) ,, 绷 ,,, , (( , 】 。 ，,,, , , , : 计 算机 时代 , , , ,年 第 , ,期 ,? , 用该 , ,替换 , , , , ,, , , , , , ; , , , , , ,, ，, , , , , , , ; , , , ,) , , ( , ‘ ,, , ,, , ()对 , , ,, 的记录按 , ;, , , 的进行降序排序 ; , ,,, , , ;,, , , , 图 , 检测元生成算 法图示 ()转() , ,。 算法 , 正常模式过滤算法 : ()采集数据模式 ,; , 算 法产生的有 效检 测元 集能够保证 其中的每 个检 测元都 不 与自我集的任何模式相 匹配。系统 将流经 网络 的报文抽取 出 的数据特征组成模式集合 ， 称为待检测模式集 。 () ,与 , , ,, 中 , ;, , , 最 大的 ,个 ,,进 ,令 ,,, , , ;,, , , , 行匹配 ， ( 配 成 功 ,匹 丢弃, ,, ,, , 检 测效 率分 析 在上述 算法的基础 上 ， ,, , 提 出了一个分 布式 网络 ,, ,,, 入侵检测模 型 ,, , ，, 。系统将 流经 网络 的报文抽取 出的数据特 征组成模式集合 ， 称为待检测模式集 。, , ，,,的每 一个 节点上 的检 测系统是通过 该节点 的检测元 与待检测模式 之间 的匹配 通 过 过 滤 器 ,, , 来完成模式识别或检测功能 。 待检测模式从流经网络的数据包抽取取得 ， 分为正常 模式 ( 非入侵行为) 和异常模式两种 。 在通常 情况 下 ， 网络 中绝大部分 是使用 类似 于免疫细胞 自我 耐受 过程 的否定选择 算法来产 生 的， 且这些检测元 还具有一 定的生命 周期 ， 因此 由检 测元构 成 的检测元集具有动态性 。 检测元集的动态性决定了其中的检 测 元是顺序存储的 ， 识别 时只能将待检 测模 式与检测元集 中的检 测元进行顺序比较 。 从 否定选择算法 中可 以看出 ， 检测元在生 成过 程 中要经 历 一 ()转 () , ,。 , 实 验数 据 通 过 对 , ,,,, , (, ( ,网段 的 , ，, , , , ，,三 个 节点 ,天的 实 统 计策略 : 计正常 模式 ( )对 ,,,, 统 ,, ， ,, ,个 ,,赋 匹配 计数 ， 过滤计数最 大的前 ,个 , ， , 以减少 ,,与成熟检 测元的 匹配次数 ， 高系统 效率 。实验数据如表 , 其中 ,,,,, , 提 ， ,, , ， , ,,， , , 节点检测元总数 , , 。 ,, 取得如下数据 : 数据都是正常数据 ， 异常或 入侵行为只 占少数 。而有效检测 元 验 ， 表 , 过滤开销对 比结 果 相关参数 , ,, ,, ,,, , ,,, , ; , , , , , , , 第一天 , , , , , 第二天 ,, , ,, , 第三天 , , , , 个类似于人体免疫 耐受 的审查过程 ， 只有 与 自我集的任何模 式 都不 匹配 的检 测元才会成 为有效检 测元 ， 这样 ， 正常 模式一 定不与检测元集中的元素 匹配 。使每一个 正常模式 都必须与 每 一 ,,，， ,,， , ; , ,, ,, , , , ,,, , ,,, , , ,, ,, , ,, , , , , , ,, , , ,, , ,( ,, ,, ,, , ,, ,, ,, , , ,, , , , ,, , 个成熟检测元进行 比较 、 试验匹配 ， 是一种无效冗余 ， 将严重 降低系统的检测效率 。 , 模 式过滤 器 针对正常模式无效比较 的问题 ， 本文提出统计 出现 频率高 的正常 模式集 ，设置一个过 滤器将大 部分正常模 式预先过 滤 掉， 然后再 由有效 检测元对 剩下 的模 式进行 匹配 ， 从而达 到提 升系统效率 的 目的。 模式过滤器算法如下 : 其 中: ,, , ,, ,,, ; ,, , ,, , ,, , ,, , , ,,, ,, , , ,, , , ,,,, ,, , , ,, ,,, ,, , ,, , , ,, ,,,, ,,, ,,, ,,,,,, , , ， ,, ,;, ,,( , , ,, , ,, , , , , ; , , , ,) , , , , , ,, , ,, , ,,, , ,， , , ,, ,; ,,, , ,,,, , ,, , , ,, ,, , , ,, , , , , , , , ;,, ,, , ,,,,,,, ,, ,， , ,,,,,,, ,,,, ,, , , ,, , ,,, , , ,, , ,,,,， ,, , ,; ,,, , ,, ,,, , 算法 , 正常模式收集算法 : ()采集正常模式 ; , ()将采集 到的正常模式 ,,加入正常模 式集 , , ,,。 , ,,, , , ， , , , , (,, ,, , , ( , , ,,, , , , , ,, 则 , ， ,,? ,,, , ,,, , ,, , 结束 语 由实 验数据分析可 以看 出， 过滤器过滤正常模式 的开 销与 成熟 ( 有效 ) 元对 正常模式 的匹配操作 的开销 比率 ,, 不 检测 ,, , 超过 , ,。说明 ， 通过 设置模式过滤器 ， 以有效 降低 系统 因正 可 常模式 的匹配操作而产生的开销。 参考 文献 : 【】,,,, ,, ,，,,, , , , , , ,,(,,,,; , , , , ,,, ， , ; , , , ,, , ,,; , ,,, , ,, , , , 该 ,,的 访 问 计数 , ; , , , , , ;, , , , 增 ,,, , 将 ,,加 入 , , ，, ， ,,的访 问 计数 , ; , , , , , ,,,, ,该 ;, , , , 增 ,, , ,, ,, , ,, , ,,,, , ,, ,, ,, , (() , , ,,, , ,, ,, ,, ,,, ，, , ,,: , , , , , 【】,,,, , ，, ,,, ,, , ,,, , ,,,, ,, ,;,, , , ,，,( , ， , ,,; , , , , ,, ,,, , , , , , , , ， ,, ,,, , ,, , , , ,, , , ,, , ; ,, , , , , ,, ,,,,, ; , ， , ,, ,,,, , , , ,， ,, , ， , ,, ? ,, , ,,, , , , 该 , 的访 问计 数 , ; , , , , , , ;, , , , 增 ,,, , ;, “ ,, , ’, ,帆 , , , , ,; ， , , ;, ; ? , , , ,, , , , ( , , 本TXT由“文库宝”下载: