随着网络技术的迅猛发展,黑客技术的平民化,网络环境变得越来越复杂,同时信息安全问题也愈发严峻。入侵检测方法作为一种积极主动的安全防御技术,也更加受到人们的关注。 本文首先介绍了入侵检测技术的概况以及国内外的研究现状,分析了基于正常特征库的检测算法的不足,也就是正常特征库的规模一直在扩大。在检测系统运行的过程中,正常特征库将占用更多的内存空间并且增加检测时间,这就降低检测效率,尤其不适用实时检测系统。 然后针对使用正常特征库匹配方法的不足,根据信息论中典型集的思想,将正常特征库看成是一个集合,并且把集合分为两个部分,其中一个是典型集部分,典型集中的元素所体现出来的属性也就代表了整个集合的属性,另一部分为非典型集。使用这个方法,我们可以对特征库中冗余的元素进行约简来提高入侵检测系统的效率。 接着对Linux系统调用之间的关系设计了三种模型,分别为系统调用独立模型,短序列独立模型和马氏模型。在获得了全集正常库的基础上,从典型集的定义出发,计算出每种假设模型下全集中每个元素的出现概率进而获得典型集。 最后把获得的典型集作为正常特征库,通过对特定数据的检测后,使用期望代价和ROC曲线等方法对IDSs做出评测,得出了使用典型集的可行性结论,并把它用于一个实时审计系统中。 总的来说,典型集方法适用于基于正常特征库的入侵检测算法,并且能够提高系统性能。