1、隨著網(wǎng)絡(luò)的普及和黑客的增多，網(wǎng)絡(luò)安全問題變得日益重要。作為防火墻的重要補充，入侵檢測(IDS)技術(shù)成為當前網(wǎng)絡(luò)安全研究領(lǐng)域的熱點。目前IDS存在一些問題，如誤報率和漏報率比較高，檢測速度慢，占用資源多等。 本文針對這些問題，在深入分析Snort、移動代理、模糊推理、最優(yōu)搜索等技術(shù)的基礎(chǔ)上，對入侵檢測的算法和體系結(jié)構(gòu)作了創(chuàng)新性和探索性研究。主要內(nèi)容為： (1)研究了模糊推理petri網(wǎng)(FRPN)在入侵檢測系統(tǒng)中的應(yīng)用方法

2、，對FRPN的定義進行了修改，引入了命題的加權(quán)因子，同時修改了推理算法，對FRPN應(yīng)用于入侵檢測系統(tǒng)中的合理性進行了驗證。FRPN的推理方法一般是模糊命題合取式的真值取各子式真值的最小值，析取式的真值取各子式真值的最大值。在入侵檢測系統(tǒng)中，這種方法沒有考慮命題在規(guī)則中的權(quán)重，致使推理不夠準確。引入加權(quán)因子后，就能夠考慮各事件的權(quán)重，使推理更加準確。 (2)研究了最優(yōu)搜索理論模型和它在入侵檢測的規(guī)則匹配中的應(yīng)用。通過將規(guī)則庫按照攻

3、擊類別分類，然后根據(jù)最優(yōu)搜索原理，將有限的時間分配到各類攻擊的檢測中去，在盡量不丟包的情況下使檢測到攻擊的概率最大化。在一般的IDS中，規(guī)則匹配的過程采用遍歷法，如果匹配過程中使用模式匹配，則在高速網(wǎng)絡(luò)下就會丟失較多的數(shù)據(jù)包。如果檢測速度不變，可以考慮選取部分規(guī)則進行匹配。本文通過最優(yōu)搜索理論，根據(jù)已發(fā)生的和可能發(fā)生的攻擊的情況，對檢測時間進行最優(yōu)分配，減少匹配工作量，盡量使IDS不產(chǎn)生丟包，從而檢測到更多的攻擊。 (3)研究了