随着计算机、通信和网络技术的高速发展,网络信息系统已经成为一个国家必备的基础设施。人类在感受到了网络信息系统对社会发展做出巨大贡献的同时,也认识到了网络信息安全问题已经成为影响国家长远利益和持续发展急待解决的重大关键问题,而入侵检测技术作为一种重要的动态安全防护技术,已经成为计算机科学与技术的一个重要研究领域。 虽然对入侵检测方法及技术的研究已经有二十多年的历程,但目前入侵检测系统仍处于相当初级的阶段,普遍存在的最突出的共性问题是: (1)系统只能检测已知类型的攻击行为,而对新攻击类型无能为力。 (2)系统检出率过低而误报率过高,从而失去应有的性能。 (3)系统在检测攻击行为时实时性不够。 本文分析比较了目前各种异常检测技术的优缺点,在此基础上对基于异常的入侵检测技术做进一步研究,将数据挖掘算法引入其中,设计了一个轻量级的入侵检测系统PLADS(Payload-based Anomaly Detection System)。与误用检测不同,PLADS是对系统的正常情况建模,因此可以达到识别未知入侵的目的;PLADS以网络数据包有效载荷的位分布作为系统特征值,采用统计学中的马哈拉诺比斯距离作为区分合法访问与非法入侵的算法,从而降低了误报率,提高了检测精度;PLADS将马哈拉诺比斯距离实现为线性算法,从而达到实时性与有效性。最后利用MIT林肯实验室的DAPRA99检测数据进行分析测试,结果表明,PLADS具备了一定的识别未知入侵的能力、可以实现实时高效的异常入侵检测。