网络入侵检测系统的研究和发展

出有利于比较和判断的特征模型(如基于异常检测的正常行为轮廓)。

数据挖掘算法有多种，运用到入侵检测中的主要有关联分析、序列分析和聚类分析3种，其中关联分析方法主要分析事件记录中数据项间隐含的关联关系，形成关联规则；序列分析方法主要分析事件记录间的相关性，形成事件记录的序列模式；聚类分析识别事件记录的内在特性，将事件记录分组以构成相似类，并导出事件记录的分布规律。在建立上述的关联规则、序列模式和相似类后，即可依此检测入侵或异常。

基于数据挖掘的检测方法建立在对所采集大量信息进行分析的基础之上，只能进行事后分析，即仅在入侵事件发生后才能检测到入侵的存在。

3.其他检测方法

其他的异常检测方法有基于规则的方法、人工免疫法、基于机器学习的检测方法和基于神经网络的检测方法等。

异常检测的优点为：不需获取攻击特征，能检测未知攻击或已知攻击的变种，且能适应用户或系统等行为的变化。但异常检测具有如下的缺点：一般根据经验知识选取或不断调整阈值以满足系统要求，阈值难以设定；异常不一定由攻击引起，系统易将用户或系统的特殊行为(如出错处理等)判定为入侵，同时系统的检测准确性受阈值的影响，在阈值选取不当时，会产生较多的检测错误，造成检测错误率高；攻击者可逐渐修改用户或系统行为的轮廓模型，因而检测系统易被攻击者训练；无法识别攻击的类型，因而难以采取适当的措施阻止攻击的继续。

2.1.2误用检测IDS

误用检测，也称为基于知识或基于签名的入侵检测。误用检测IDS根据已知攻击的知识建立攻击特征库，通过用户或系统行为与特征库中各种攻击模式的比较确定是否发生入侵。常用的误用检测技术主要有：

1. 基于专家系统的检测方法

专家系统是入侵检测中常用的一种检测方法，通过将有关入侵的知识转化为if-then结构的规则，前者为构成入侵的条件，后者为发现入侵后采取的响应措施。专家系统的优点为把系统的推理控制过程和问题的最终解答相分离，即用户不需要理解或干预专家系统内部的推理过程，只需把专家系统看作一个黑盒子。在将专家系统应用于入侵检测时，存在下列问题：缺乏处理序列数据的能力，即不能处理数据的前后相关性；性能取决于设计者的知识；只能检测已知的攻击模式；无法处理判断不确定性；规则库难以维护，更改规则时要考虑对规则库中其他规则的影响。

2.基于状态转移分析的检测方法

状态转移分析方法运用状态转换图来表示和检测已知的攻击模式，即运用系统状态和状态转移表达式来描述已知的攻击模式，以有限状态机模型来表示入侵过程。入侵过程由一系列导致系统从初始状态转移到入侵状态的行为组成，其中初始状态为入侵发生前的系统状态，入侵状态表示入侵完成后系统所处的状态。