九游会j9登录入口首页

1.模式匹配

基于模式匹配的入侵检测方法将已知的入侵特征编码成为与审计记录相符合的模式。当新的审计事件产生时，这一方法将寻找与它相匹配的已知入侵模式。

2.神经网络

神经网络是一种非量化的分析技术，使用自适应学习技术来提取异常行为的特征，需要对训练集进行学习得出正常的行为模式，并且要求保证训练数据的纯洁性，即不包含任何入侵或异常用户行为。

神经网络有大量处理元件组成，九游会j9登录入口首页称之为“单元”。单元之间通过带有权值的连接进行交互。神经网络所包含的知识体现在网络的结构（单元之间的连接、连接的权值）当中，学习过程也就是权值的改变和连接的添加或删除。

神经网络的处理首先要构造入侵分析模型的检测器，使用代表用户行为的历史数据进行训练，完成网络的构建和组装；然后网络间接受输入的事件数据，与参考的历史行为相比较，判断出两者的相似度或偏离度。

神经网络使用以下方法来表示异常的事件：改变单元的状态、改变连接的权值、添加连接或删除连接。同时也提供对所定义的正常模式进行逐步修正的功能。

神经网络解决了传统统计分析技术面临的难于建立确切的统计分布、难于实现方法的普遍适用性、算法实现比较昂贵、系统臃肿难于裁减等问题。

3.基于免疫学的入侵检测技术

基于免疫学的入侵检测技术具有以下重要特征：

（1）分布式检测。免疫系统的检测是高度分布的，没有统一的中心控制，这种分布机制保障了系统的高度可靠性。

（2）独立性。检测系统的各个组成部分是相互独立的，这种机制的优点是，即使某一方面的保护功能失效也不会影响系统其他部分的正常工作。

（3）能够检测未知。基于免疫学的入侵检测技术不仅能够记忆曾感染过的病原体的特征，还能够有效地检测未知的病原体。

免疫系统最基本也是最重要的能力是识别“自我/非自我”，即，它能够识别哪些组织属于正常机体，不属于正常的就认为是异常。生物免疫系统使用氨基酸、蛋白质碎片来完成“自我”的分辨任务，计算机的某些属性也可以充当这种角色。但需要在训练阶段建立起反映正常行为的知识库。在实际检测过程中，收集各个特权进程所产生的系统调用序列，与正常的行为模式相比较，偏离了正常模式的系统进程被认为是出现了异常。

“自我”识别是一项功能强大并且很有发展前途的技术。但并不能解决所有的问题。某些类型的攻击，例如条件竞争、身份伪装、违背安全策略等，可能不涉及到特权进程的使用，也就不能通过这种针对特权进程的免疫系统检测出来。

4.基因算法

基因算法引入达尔文在进化论中提出的自然选择的观念对系统进行优化。利用对“染色体”的编码和相应的变异及组合，形成新的个体。算法通常针对需要进行优化的系统变量进行编码，作为构成个体“染色体”。

入侵检测的过程可抽象为：为审计记录定义一种向量表示形式，这种向量或者对应于攻击行为，或者代表正常行为。通过对所定义向量进行的测试，提出改进的向量表示形式，不断重复这个过程，直到得到令人满意的结果为止。基因算法的任务是使用“适者生存”的概念，得出最佳的向量表示形式。通常分为两个步骤来完成：首先，使用字符串对所有的个体进行编码；然后，找出最佳选择函数，根据某些评估准则对系统个体进行测试，得出最为合适的向量表示形式。

使用基因算法进行入侵检测，检测率高，误报率低，而且系统的运行效率同样可以接受。但存在以下缺陷：

（1）入侵检测系统的某些规则可能定义为：如果没有发生特定事件就认为是入侵或异常。这种规则对于基于基因算法的系统来说是无法产生和处理的。

（2）由于对单独的时间流采用二进制的方式表示，系统无法检测多种同时发生的攻击行为。其解决方法是采用非二进制方式表示基因算法。

（3）如果某些漏洞对于特定攻击来说是普遍存在的，攻击者利用这一点，向目标系统同时发起多次攻击，则系统将无法找到最佳的向量表示形式。

（4）系统无法在审计记录中实现准确的定位，因此，监测器的结果中不包含时间信息。如果需要提供这方面的信息，必须进行进一步的研究工作或者依赖于其他调查手段的帮助。

5.数据挖掘技术

数据挖掘本身是一项通用的知识发现技术，其目的是要从海量数据中提取出九游会j9登录入口首页所感兴趣的数据信息。在入侵检测系统中使用数据挖掘技术，通过采用数据挖掘中的关联分析、序列模式分析等算法分析历史数据，可以提取出用户的行为特征、总结入侵行为的规律，从而建立起比较完备的规则库来进行入侵检测。