随着网络技术的日益发展,尤其是Internet的日益普及,网络安全问题受到越来越多的关注。入侵检测系统(IDS)是继防火墙、数据加密等传统安全保护措施后新一代的安全保障技术,得到了越来越越多的应用。由于网络规模的不断扩大,网络应用更加复杂,对入侵检测在运行效率和检测结果方面都提出了更高的要求。传统的网络入侵检测方法基于传输层以下的数据包特性来检测入侵,因此存在一些难以克服的缺点,如运行效率低、易受欺骗、误报警多、检测效率差等,难以适应目前的网络环境。分布式多Agent技术是解决效率问题的一个好方法,论文提出的序列检测模型(SIDS)正是在分布式架构下针对应用层协议的子检测系统。 为了解决应用层协议的检测问题,论文设计并实现了基于序列挖掘的辅助规则生成系统和序列检测模型(SIDS)。辅助规则生成系统采用了效率较高的PrefixSpan的序列数据挖掘算法,得到攻击频繁序列模式,可以帮助安全专家快速有效地编写序列规则集。在SIDS系统中,首先使用应用层协议分析器对网络报文进行语义和格式上的预处理并产生网络事件。SIDS结合Snort和STAT检测机制的优点,引入状态迁移技术,把多个数据报、系统状态和用户信息结合起来进行综合检测,以降低误报率;同时,采用权限机制削减要匹配的规则集、3级索引快速定位序列规则、只执行一次检测子例程等方案进一步提高检测效率。 通过麻省理工学院林肯实验室公布的测试数据来评估序列检测模型,结果表明SIDS较明显地提高了检测性能并减少了误报率。