当前,大多数商用网络入侵检测系统(Network-based Intrusion Detection System, NIDS)均能较好地实现误用检测。但如果攻击者利用躲避技术偏离了检测规则,系统就会产生漏报,导致检测率降低。基于案例的推理理论(Case-based Reasoning, CBR)是在案例库中搜索出与新问题最为相似的案例并进行修改,以提供解的推理模式。在NIDS中引入CBR理论,利用相似度比较,可以有效地检测出企图偏离检测规则的攻击行为。论文依托国家863计划项目“高可信网络业务管控系统”相关课题,对现有误用型NIDS中存在的躲避检测问题进行了深入地分析和研究,结合CBR理论提出了相应的系统结构、算法及工程实现方案,有效地解决了躲避检测问题。具体研究工作内容如下:1.提出基于CBR理论的误用型网络入侵检测系统结构(C-MNIDS)。该系统可同时实现精确匹配和相似匹配,构建了解决躲避检测问题的框架。系统设计时针对CBR理论在NIDS系统应用时存在的问题,一方面设计了基于分层方式的案例库维护模块结构,以解决案例库过大导致的搜索效率下降问题;另一方面设计了基于变权值方式的CBR引擎模块结构,以解决传统CBR引擎等权值结构导致的搜索匹配精度低的问题。在上述模块结构的基础上,进一步设计了预处理模块结构和案例库组织结构以形成完整的系统。2.提出混合群聚类算法(HAFSC)。该算法针对搜索效率下降问题,结合C-MNIDS案例库维护模块结构特点,通过改进鱼群和蚁群的相关行为,避免了最优状态退化和算法“早熟”等问题,提高了算法的寻优性能。算法前期利用改进的鱼群聚类算法得到粗略的聚类结果;后期利用改进的蚁群聚类算法得到精细的聚类结果。仿真结果表明:该算法融合了蚁群聚类算法和鱼群聚类算法的优点,聚类性能良好。应用其对案例库进行聚类,将案例库分成多个子案例库后,可以减少搜索时间,提高搜索效率。3.提出综合权值计算方法(CFW)。该方法针对搜索匹配精度下降问题,结合C-MNIDS引擎模块结构特点,在分析主观权值和客观权值各自优缺点的基础上,通过设计相应的调整方法得到更加精确的主客观权值。计算上述结果之间的距离并构造理想解,推导出综合权值调整系数,从而得到最终的权值结果。仿真结果表明:该方法有效地避免了单独使用主观权值和客观权值的缺点,降低了搜索匹配算法的误差率,提高了整个系统案例匹配的精确度、专属度和灵敏度。4.设计C-MNIDS系统的实现方案和测试方案。根据C-MNIDS系统结构和相关算法,设计预处理模块、检测案例库、案例库维护模块和引擎模块的实现方案。设计检测率测试、误报率测试和压力测试三种方案,以评估系统性能。测试结果表明:本文设计的C-MNIDS可以有效地检测出采用躲避技术的攻击,其最高检测率可达94.1%,较传统误用型NIDS有很大的提高。