1、互聯(lián)網(wǎng)的開放性為信息共享和交互提供了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也日益明顯。入侵檢測(cè)是用于檢測(cè)任何損害或企圖損害系統(tǒng)的保密性、完整性或可用性行為的一種網(wǎng)絡(luò)安全技術(shù)。入侵檢測(cè)作為一種主動(dòng)的信息安全保障措施，它有效的彌補(bǔ)了傳統(tǒng)安全防護(hù)技術(shù)的缺陷。 事實(shí)上，大量的網(wǎng)絡(luò)攻擊都是對(duì)不同的網(wǎng)絡(luò)協(xié)議進(jìn)行濫用，很多新型的攻擊方法都違背了協(xié)議標(biāo)準(zhǔn)。協(xié)議異常檢測(cè)是入侵檢測(cè)的一個(gè)新技術(shù)，該技術(shù)是對(duì)協(xié)議的正確使用行為建立模型，任何偏離此模型的行

2、為都被認(rèn)為是入侵行為或可疑的行為。 首先，本文通過馬爾可夫鏈的方法對(duì)TCP/IP網(wǎng)絡(luò)中的應(yīng)用層協(xié)議(主要是FTP協(xié)議和SSH協(xié)議)建立模型，實(shí)驗(yàn)數(shù)據(jù)來自美國(guó)麻省理工學(xué)院的林肯實(shí)驗(yàn)室公開發(fā)布的1999年入侵檢測(cè)評(píng)估數(shù)據(jù)，該數(shù)據(jù)具有較大的權(quán)威性。本文根據(jù)該數(shù)據(jù)中不含有攻擊的流量(第一周和第三周，共10天)進(jìn)行分析，以得到正常情況下基于馬爾可夫鏈的應(yīng)用層協(xié)議模型。 其次，本文利用上述所建立的應(yīng)用層協(xié)議模型在應(yīng)用層進(jìn)行協(xié)議異常檢

3、測(cè)評(píng)估，評(píng)估數(shù)據(jù)集來自林肯實(shí)驗(yàn)室提供的含有攻擊的(第二周)數(shù)據(jù)，任何偏離正常情況下協(xié)議模型的行為就被認(rèn)為是入侵，并通過ROC曲線和D1(t)曲線進(jìn)行分析。 在傳輸層，本文首先通過馬爾可夫鏈的方法對(duì)TCP協(xié)議建立模型，并對(duì)其進(jìn)行協(xié)議異常檢測(cè)評(píng)估，在評(píng)估過程中，發(fā)現(xiàn)了原有評(píng)估方法存在的問題，進(jìn)而提出了一種新的基于Chi-squareDistance的傳輸層協(xié)議異常檢測(cè)評(píng)估方法，并通過檢測(cè)SYNFlooding攻擊進(jìn)一步驗(yàn)證了新方法的