互联网的飞速发展给人们的日常工作带来了前所未有的便利,随之而来的安全问题也越来越难以回避。受各种原因的驱使及攻击工具的增加与使用的方便,入侵事件日益猖獗。为了增强网络的安全性,人们采用了各种网络安全技术如Firewall,VPN等,入侵检测技术是近年来越来越受到关注的新一代安全保障技术,被认为是防火墙之后的又一道安全闸门。作为一种主动的信息安全保障措施,通过构建动态的安全循环,它有效地弥补了传统安全防护技术的缺陷,减少安全威胁对系统造成的危害,最大限度地提高系统的安全保障能力。目前,入侵检测已经成为网络安全的一个重要分支。 本文在深入分析各种网络入侵手段和攻击检测方法的基础上,将属性论方法中的定性映射结合改进的BM匹配算法巧妙地运用到入侵检测系统,研究并设计了一个基于定性映射的网络入侵检测系统,并实现测试了其中的关键部分。由于入侵行为的识别可看作是基于合取的复杂性质判断,并且以区间阵列为定性基准的定性映射可表达为由多维属性确定的一个定性判断操作,所以可利用以区间阵列为定性基准的定性映射来完成网络数据包的识别工作。 根据属性论的思想,本文对捕获到的网络数据包进行特征提取,从中抽取出18维具有代表意义的属性构成特征向量。然后以该特征向量为标准对入侵特征基准库(由检测引擎转化为三维基准表)进行搜索,如果匹配,该行为就属于攻击行为。对于每一类攻击行为的特征向量的各个分量,本文引入多值权重{0、x、1}表各示分量对最终结果的影响程度。并且,在具体每个分量的匹配上,采用了改进后的BM算法。另外,对属性论在异常检测方面的应用,本文也作了初步设想。 测试表明,基于定性映射的网络入侵检测系统能较好地识别多类攻击行为,具有较低的误报率(FP)和漏报率(FN),为进一步研究入侵检测打下了较好的基础。