主机异常入侵检测是通过检查或监视主机是否偏离或脱离正常运行状态,而判断或发现其是否遭受外部攻击的一种技术,是网络安全防护的重要手段。现有的很多主机异常入侵检测技术,如特征检测、异常检测和状态检测等,虽然各有优势,但也都存在缺陷。如常用的特征检测技术,在攻击发生变异后就会失效、或降低准确率或升高误/漏报率。另外现有的主机异常入侵检测系统,其数据源常常和被监控主机的操作系统等因素密切相关,于是不同的系统需安装不同的主机引擎,这也对属主系统的运行和稳定造成影响。因此,研究新的主机异常入侵检测方法和技术成为当今的前沿热点研究问题。针对上述问题,在深入分析网络攻击和入侵特点的基础上,研究基于与系统无关的、具有代表性的且易于获取和计算的数据源的主机异常入侵检测方法,试图在提高方法适用性、提高检测准确性,降低系统误报率和漏报率之间取得更好的平衡。主机的实时流量、系统资源使用模式、系统核心文件的访问状态以及其它安全工具的告警信息都为检测主机异常提供了有价值线索,采用适当的方法就可挖掘出这些数据中隐藏的主机异常入侵行为。提出了一种基于主机流量的异常检测方法。主机的网络流量在一定程度上可以反映主机的活动特点,深入分析主机的实时流量是检测主机异常入侵的可行途径。选择主机流量中有代表性的13个特征,用贝叶斯逻辑回归方法客观地确定其对主机异常入侵的影响。用贝叶斯方法确定特征的先验概率,并结合训练数据集的信息,得到逻辑回归模型各个特征的后验概率。考虑到算法的简单高效以及模型的客观性,使用模型拟合优度检验AIC信息标准(AIC:Akaike Information Criterion)对变量特征进行筛选,保留对检测结果影响最大的几个主要流量特征作为模型的变量。实验结果表明该模型能够检测大部分类型的异常入侵。提出了一种基于主机资源使用模式的异常检测方法。主机的安全状态与其资源的使用情况密切相关。建立了主机资源可用性测度指标体系,包括主机的计算资源、存储资源、网络资源、IO资源以及进程/线程的统计信息,分析主机资源的正常使用轮廓,确定各个指标对主机资源可用性的影响并进而判断主机的安全状态。运用层次分析法确定指标的主观权重,熵权法确定指标的客观权重,然后将主、客观权重进行有机集成,得到组合权重的最优解,在此基础上建立目标主机资源可用性综合评价模型,进而评估主机安全状态。设计了基于D-S证据理论的多源异构数据融合模型,根据融合结果判断主机异常。网络攻击的形式和手段日益多样化,依靠单一数据源检测所能检测到的攻击类型受到很大限制,且检测的效率也受到极大的影响。网络入侵行为常常会在多方面特征中表现出异常,融合多种异构信息来检测主机异常是一种新的思路。主机流量信息、资源信息、文件系统信息以及其他安全设备的告警都为主机的异常检测提供大量信息,对这些信息进行融合后可得到高层的准确判断。选择多种安全相关且计算量小的信息,运用D-S证据理论进行融合,消除信息本身的不确定性,同时引入主机正常轮廓的自适应机制,为主机活动是否异常提供一个较为准确的概率。实验表明:D-S信息融合可降低依靠单个证据检测入侵带来的不确定性,降低误报率和漏报率,同时可以增加检测系统的可扩展性和实时性。