论文部分内容阅读
E2xb算法是基于对攻击特征(模式字符串)进行检测(模式匹配)的入侵检测算法。它的原理是任何一个待检测的串(本论文称长度固定的待检测串为特征串),如果不包含某模式串的一部分,就不包含该模式串。若将模式串的长度固定,映射到一个固定长度的位串(本论文称之为特征位图)上,可大大增加检测的效率。但该算法有一定的缺陷,即只适用于中等长度的串,在待匹配串长度大于1000bit或者小于10bit时,该算法都会显著的失去效率。同时,该算法要求待匹配串的长度固定,这就必须对大于或不足于某给定长度的待匹配串作预处理(采用哈希映射或以特定串补充不足位数)。还有,该算法只能对已知的、对单个主机或单个进程的攻击(如蠕虫和木马程序)做出响应。
本论文对此算法进行了部分改进。改进包括:利用了基于弹性反馈的神经网络算法的一部分;在预处理前进行预分析;对不同长度的待匹配串进行规范化的预处理。本论文将对网络的攻击,或者一些原来不适于用E2xb算法进行识别的攻击,以及某些未知的攻击,分流到一个神经网络上,利用映射矩阵和权矩阵计算出解向量,并以之生成特征串和特征位图,类似于蠕虫或木马的特征串和特征位图。这样,就令E2xb算法在效率上有所提高,并在适用范围上有较大的推广。