1、入侵檢測是計算機網(wǎng)絡(luò)安全體系的重要環(huán)節(jié)。根據(jù)檢測原理的不同，入侵檢測系統(tǒng)可分為誤用檢測和異常檢測。誤用檢測對已知的入侵行為建模，能夠準確識別出已知入侵。異常檢測根據(jù)目標系統(tǒng)的正常行為輪廓特征訓練出正常行為模型，如果檢測到當前行為偏離了正常行為模型，則認為系統(tǒng)遭到入侵。異常檢測適應性較好，具備檢測未知入侵的能力。
　　 傳統(tǒng)的基于主機或網(wǎng)絡(luò)的異常檢測系統(tǒng)效率低下，難以達到實用的要求，其原因是多方面的：檢測目標選擇不當，檢測數(shù)據(jù)源缺

2、乏針對性；缺乏有效的訓練數(shù)據(jù)凈化算法，難以獲得純凈的訓練數(shù)據(jù)集；正常行為模型訓練困難，模型的描述能力不足；檢測算法開銷太大，無法應用于實時的在線檢測。為此，以Web系統(tǒng)作為目標平臺，提出一種新的基于應用的異常檢測技術(shù)，涵蓋了Web系統(tǒng)漏洞分析與分類、檢測數(shù)據(jù)源的選取與評估、數(shù)據(jù)模型的抽象與凈化、檢測模型的訓練與優(yōu)化等多方面的內(nèi)容。
　　 在分析大量Web 應用入侵實例的基礎(chǔ)上提出了一種新的Web 漏洞分類機制，Web系統(tǒng)漏洞分類

3、研究對于選取檢測數(shù)據(jù)源以及建立訓練數(shù)據(jù)集具有重要的指導意義。
　　 異常檢測的基本假設(shè)是入侵會導致系統(tǒng)行為異常，檢測數(shù)據(jù)源的選取與評估必須以能夠涵蓋系統(tǒng)異常行為為標準。詳細分析Web系統(tǒng)行為，將描述系統(tǒng)行為的原始檢測數(shù)據(jù)源以記錄為單位抽象為單元事件和復合事件，以事件序列作為檢測數(shù)據(jù)集的統(tǒng)一格式，這種統(tǒng)一格式稱為數(shù)據(jù)模型。在得到事件序列后，異常檢測簡化為事件的異常分析：訓練得到描述系統(tǒng)正常行為輪廓的正常行為模型，將正常行為模型稱為

4、檢測模型；以檢測模型為基準，采用適當?shù)臋z測算法評估待測事件子序列相對于基準的偏離，這種偏離的量化稱為異常分值；當異常分值超過指定閾值時即認為在該子序列中發(fā)生異常，異常的事件子序列描述了入侵行為。采用PWM 短序列模式匹配算法和關(guān)聯(lián)規(guī)則匹配算法對HTTP 連接記錄序列等5種事件序列進行異常分析，評估了各種事件序列對應的檢測數(shù)據(jù)源針對各類Web 應用入侵的檢測敏感性。
　　 檢測模型的質(zhì)量直接決定了檢測效率。以單元事件序列和復合事件

5、序列作為數(shù)據(jù)模型，詳細介紹了事件流程圖、模糊命題規(guī)則庫以及模糊關(guān)聯(lián)規(guī)則庫等檢測模型的訓練和優(yōu)化過程，并提出了基于各檢測模型的多種檢測算法。對于單元事件序列，提出了基于間隙型變長頻繁短序列(GV-Gram)模式的異常檢測方法。在詳細分析程序過程調(diào)用序列的結(jié)構(gòu)特征的基礎(chǔ)上，定義了GV-Gram模式，涵蓋了程序流程中順序、選擇和循環(huán)三種基本結(jié)構(gòu)。為了挖掘出GV-Gram 模式庫，以TEIRESIAS 算法為基礎(chǔ)，提出了新的帶冗余控制的GV-G

6、ram 模式生成算法。事件流程圖是GV-Gram 模式庫的圖形化表達形式，能夠精確描述程序行為。與已經(jīng)提出的一些頻繁短序列模式匹配算法相比，采用事件流程圖作為檢測模型的異常檢測算法在模型規(guī)模控制、檢測效率以及檢測開銷等方面具有明顯優(yōu)勢。
　　 對于復合事件序列的凈化，提出了基于偏離的孤立事件挖掘方法。首先，該方法整合了連續(xù)、離散和復合離散三種復合事件屬性，通過補償連續(xù)值屬性和離散值屬性之間數(shù)值上的差異，提供了復合事件之間距離的統(tǒng)

7、一計算公式。其次，提出了用于構(gòu)造異常集的中心偏離優(yōu)先異常集增長算法，將異常集中的事件從復合事件序列中剔除，得到相對純凈的訓練數(shù)據(jù)集。
　　 復合事件序列的異常檢測采用了模糊命題規(guī)則庫和模糊關(guān)聯(lián)規(guī)則庫作為檢測模型。復合事件的連續(xù)值屬性離散化是規(guī)則挖掘的前提條件，引入模糊邏輯的目的是消除離散化過程中的邊界銳化效應。在屬性模糊化過程中，隸屬度函數(shù)參數(shù)的優(yōu)化采用了遺傳算法。在離線檢測策略中，海量檢測數(shù)據(jù)的傳送采用零拷貝優(yōu)化技術(shù)，降低了傳

8、送開銷。
　　 模糊命題規(guī)則庫的實質(zhì)是模糊決策樹。為了訓練得到模糊決策樹，提出了局部動態(tài)最優(yōu)模糊決策樹生長算法，算法采用貪心策略，確保每個連續(xù)值屬性在作為分類節(jié)點時，其屬性模糊化后的隸屬度函數(shù)參數(shù)都是局部最優(yōu)的。利用數(shù)據(jù)挖掘中的關(guān)聯(lián)分析技術(shù)挖掘出模糊關(guān)聯(lián)規(guī)則庫：首先對經(jīng)典的Apriori 算法加以改造，結(jié)合模糊邏輯提出了頻繁模糊項集挖掘算法，然后將算法輸出的頻繁模糊項集轉(zhuǎn)化為模糊關(guān)聯(lián)規(guī)則庫。
　　 對于復合事件序列的異常