基于专家系统的入侵检测系统的实现
电子发烧友 电子技术论坛
基于专家系统的入侵检测系统的实现
林 庆 1 王 飞 1 吴旻 2 廖定安 1 王 敏 1
1
(江苏大学计算机科学与通信工程学院,江苏镇江 212013 ;
2 江苏大学人事处,江苏镇江 212013 )
Implementation of Intrusion Detection System Based On Expert System
1 1 2 1 1
Qing Lin Fei Wang MinWu MinWang DinganLiao
1
( School Of Computer Science and Tele-communication Engineering, JiangSu
2
University , ZhenJiang, JiangSu 212013 China ; Personnel Division, JiangSu
University , ZhenJiang, JiangSu 212013 China)
摘要:该文讨论了普通型入侵检测系统的弱点,对人工智能的重要领域专家系统作了简要介
绍,提出了一个基于专家系统的实时入侵检测系统的详细设计方案和实现方法,同时举例说
明如何定义知识规则库中的规则集。
关键词:人工智能;专家系统;入侵检测;误用入侵检测
Abstract:In this page the disadvantages of common Intrusion Detection System are
presented.And the details of designs of a expert-system based real-time Intrusion
Detection System with brief introduction of expert system in Artificial Intelligence
are also exhibited in this paper.Meanwhile an example of definition of rule-set in
knowledge-rule database is included in the introduction mentioned above.
Keyword: Artificial Intelligence; Expert System; Intrusion Detection; Misuse
Intrusion Detection
中图分类号: TP393. 08 文献标识码: A
1 引言
随着全球互联网的迅速发展,安全问题正越来越受到重视,各种安全机制、策略和工具正被
研究和应用,其中入侵检测系统已成为安全防范工具中的重要代表。入侵检测的方法主要可以分
为两类:异常检测(Abnormally Detection)和误用入侵检测(Misuse Detection)。异常检测指
的是根据非正常行为(系统或用户)和使用计算机资源非正常情况检测出入侵行为。误用入侵检
测是指根据已知的入侵模式来检测入侵。虽然基于这两种方法的普通入侵检测系统已经取得了很
好的效果,但现代的网络攻击手段越来越高明,普通入侵检测系统的检测能力正面临着越来越大
的挑战。所以提高入侵检测的效率已成为入侵检测系统发展的最大问题。其中引进人工智能中专
家系统的技术提升入侵检测的效率已经成为了很重要的一种方法。
2 普通入侵检测系统的缺点
普通入侵检测系统的基本原理就是设置一个安全管理数据库,其中存放的是检测规则,例如
按一定的格式存放下列数据,供分析器直接按照这些安全规则进行分析检测:
·Direction 传输方向·Sic 源 IP 地址·Dest 目的IP 地址·SPort 源端口号
·DPort 目的端口号·Protype 传输协议类型(TCP,UDP 等) ·Decision 控制操作(允许或拒绝)
安全管理员通过学习或根据经验