论文部分内容阅读
摘要:首先对入侵检测技术的研究背景进行阐述,然后对入侵检测系统的有关技术、网络入侵检测技术、评价入侵检测系统的指标和CIDF标准框架进行了深入研究。其中对于入侵检测系统详细地讲解了基于主机的入侵检测系统和基于网络的入侵检测系统;对于入侵检测技术深入讲解了误用检测技术、异常检测技术和混合检测技术;对于入侵检测性能指标详细讲解了漏报和误报、系统负荷、检测延迟时间和抗攻击能力。最后对网络入侵检测技术的未来发展方向进行了展望。
关键词:入侵检测系统; 入侵检测技术; 性能指标; 体系结构
中图分类号:TP393.08 文献标识码:A文章编号:2095-2163(2013)02-0062-04
0引言
随着互联网的迅速普及与高速发展,互联网已经进入了全球的各个行业,以及普通家庭。可以说,当今的互联网已是无所不在、且高效全能。只是互联网在给人们的生活、工作带来可见便利的同时,如何保证网络信息的安全和网络设备的安全也日益成为当前人们关注的热点与焦点。
据不完全统计,全球每20秒就会发生一起黑客事件,且由于网络安全问题,每年只是给美国造成的经济损失就高达100亿美元以上[1]。另据报导可知,信息窃取正以250%的速度增长,并且98%的知名公司都经历了网络入侵事件[2-3]。因此,如何防范网络安全已经成为学术界和工业界一个迫在眉睫的重大问题,而其中一项关键技术就是网络入侵检测技术。
1网络入侵检测系统(IDS)
当前的网络安全技术,主要有防火墙技术、杀毒软件和入侵检测技术,其中入侵检测技术是防范黑客攻击的主要方式。形象地说,防火墙是网络安全防范的第一道闸门,而入侵检测系统是位于防火墙后面的第二道安全闸门,入侵检测系统的有效性对于网络设备的安全起着至关重要的决定性作用。入侵检测系统检测入侵攻击行为的过程是,首先由数据采集模块将收集到的主机数据或网络数据进行预处理,解析其中关键数据信息,然后将经过预处理的数据传至入侵检测模块,由其根据入侵规则库或机器学习方法分析是否发生了入侵攻击行为,最后将分析判断结果交至响应模块,响应模块再根据安全的危险等级进行所需的相应处理。
根据采集数据的不同,入侵检测系统可分为三类,基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)和混合类型的入侵检测系统(HNIDS)[4]。
1.1基于主机的入侵检测系统
HIDS是通过对主机的审计记录和日志文件进行分析来判断是否发生了入侵行为。如果日志文件中出现了异常的活动记录,则入侵行为可能发生或已经成功入侵了本台计算机。系统检测到入侵行为的发生后,要迅速启动相应的响应程序。而当文件系统发生变化时,HIDS则对新的记录与攻击规则进行匹配,如果匹配成功,则向管理员发出警报,以便采取需要的保护措施。
HIDS的优点是监控粒度较细、配置灵活、对网络流量不敏感、无需增加额外的硬件资源等。其缺点是需占用主机的资源,消耗服务器额外的计算资源和存储资源,并且其移植性较差,因此使用范围较为有限。
1.2基于网络的入侵检测系统(NIDS)
NIDS监听网络中的数据包,对于经过IDS网卡的所有数据包都进行采集,通过协议分析技术,逐层解析由MAC层到传输层的各层数据包,并对各层数据包的头部内容实现了精确分析,且与现有的入侵规则库匹配或者利用机器学习、数据挖掘技术来发现入侵行为。
HIDS的优点是检测速度快、实时性较好、系统的隐蔽性高、需要的监测资源较少、可移植性好、且不占用主机资源。但其缺点是,只能监测IDS系统所在的网段,检测粒度较粗,在交换环境中难以进行配置。第2期于海涛,等:入侵检测相关技术的研究智能计算机与应用第3卷
1.3混合类型的入侵检测系统(HNIDS)
为了弥补基于主机的入侵检测系统和基于网络的入侵检测系统的自身缺点,同时集成了两者各自的优点,并将其有机地结合起来,就形成了混合类型的入侵检测系统。HIDS既可以检测出网络的攻击行为,又能够用发现日志系统和审计记录中的异常行为。
2入侵检测技术
根据分析数据的方式不同,入侵检测分为误用(Misuse)入侵检测和异常(Anomaly)入侵检测[5],因其各有优缺点,故在此基础上,提出混合入侵检测技术,实现了两者的取长补短,获得了进一步的完善。
2.1误用检测技术
误用检测的实现前提是通过对各种已知的攻击行为和入侵手段进行分析,求得攻击行为和入侵行为的特征,由此形成入侵规则库。在进行入侵检测时,首先对主机的日志数据、审计记录或网络数据进行预处理,然后与规则库中的入侵规则进行匹配,如果匹配成功则说明发生了入侵行为。该方面的研究大部分集中在如何提高规则库的精度和提升规则匹配的速度。对于规则库的生成主要采用语言分析方法、专家系统;而规则匹配则主要采用字符串匹配的技术。
由误用检测的过程可以看出,其不足表现在只能检测已知的攻击模式,对于未知的入侵行为则无能为力。当出现新的漏洞攻击时,就只能采用人工的方法或机器学习系统,而将新的入侵模式增加至入侵规则库中,因此需要对规则库进行定期更新,由此则入侵检测将滞后于新的入侵行为,较易出现入侵行为漏报的情况。
2.2异常检测技术
异常检测是通过数据分析技术,发现未知的攻击模式和攻击行为,通常是判断与正常行为的偏离程度来确定是否发生了入侵行为,因而无需预先生成入侵规则库。异常检测采用的技术主要有统计分析模型、神经网络、免疫系统方法、基于贝叶斯的推测理论、文件完备性检查。由异常检测的过程分析可知,异常检测中存在着会出现检测误判的情况。另外,异常检测虽然不需要事先建立基于入侵行为特征的入侵规则库,但是却需要事先建立用户正常行为的模式规则库,加之用户的正常行为也在时刻发生着变化,所以异常检测多会面臨着正常行为模式定期更新的问题。 2.3混合检测技术
混合检测技术综合了误用检测和异常检测的优点,克服了各自的缺点,因而既能检测已知的入侵行为,也能检测未知的入侵行为,极大地降低了入侵行为误报和漏报的比例。
3数据挖掘在入侵检测中的应用
在进行入侵规则库的生成和未知入侵行为检测时,大多数采用数据挖掘的理论。实现过程主要采用分类分析法、关联规则分析、时序分析和聚类算法。其中,分类分析是预先确定几个类别,形成一个分类器,对主机数据或网络数据进行分类,判断是正常行为还是入侵行为。关联规则分析是根据数据字段之间的规则和联系展开分析,判断是否发生了入侵行为。序列分析是进行不同数据记录之间的相关性分析,并根据数据记录之间的时间顺序,判断入侵行为是否发生。聚类算法是常用的入侵挖掘算法,该方法通过聚类技术对数据进行分类,由于入侵行为的数量远远低于正常用户行为,在聚类所划分的类别中,如果某个类别中的数据成员数量低于某个阈值,则认为该类中数据是入侵行为。由于聚类算法对于初始中心选择比较敏感,所以需要对初始聚类中心的选择进行优化,防止聚类陷入局部最优解,从而提高聚类的划分质量,文献[6,7]都是根据智能启发算法对初始聚类中心进行优化,使聚类算法跳出局部最优解,获得全局最优的聚类划分,从而提高入侵检测的精度。
4入侵检测的系统评价指标
入侵检测系统的主要指标有:
(1)漏报和误报。误报是将正常的行为误检成入侵行为,而漏报是将入侵行为检测成正常行为,造成入侵行为的漏报。目前有2个指标用于衡量漏报和误报,分别是:检测率和误报率,检测率是检测到的入侵行为与实际的入侵行为数量的比值,而误报率则是正常行为检测成入侵行为的数量与实际正常行为的比值。检测率越高、误报率越低,则说明检测越好[8]。检测率和误报率之间本身就是一对矛盾,当提高检测率,误报率也会随之提高,因此对于检测率和误报率之间的权衡折中一直是入侵检测研究中的关注热点。
(2)系统负荷。系统负荷是指IDS占用主机和网络中资源。顯然,占用资源越少越好。在设计入侵检测系统的时候,通常需要在保证入侵检测质量的同时,还要尽量减少系统资源的占用。
(3)检测延迟时间。检测时间是从发生入侵行为到检测出入侵行为所需要的时间。显然,检测时间越小越好。
(4)抗攻击能力。由于IDS系统会成为入侵者的攻击焦点,所以IDS的抗攻击能力是IDS一个重要的性能指标。
5CIDF标准框架
为了使不同科研机构和IT公司开发的IDS入侵检测系统能够相互兼容,同时提高IDS系统的可扩展性,加州大学的戴维斯分校安全实验室制定了一个入侵检测系统的通用标准框架CIDF(Common Intrusion Detection Framework)。该框架目前已经成为入侵检测研究的一个实施标准,对于入侵检测的大多数研究均已基于CIDF框架[9]。CIDF的框架体系结构如图1所示。
由图1可见,CIDF体系结构各组成部分功能分析如下。
(1)事件产生器:从入侵检测系统外的整个计算环境中获得事件,并以CIDF gidos格式向系统的其他组件提供此事件,其中,gidos是通用入侵检测对象(generalized intrusion detection objects,gido)格式,一个gido可以表示在一些特定时刻发生的一些特定事件,也可以表示从一系列事件中得出的一些结论,甚至还可以表示执行某个动作的指令。
(2)事件分析器:从其他组件接收gidos,对得到的数据进行分析,并产生新的gidos。
(3)响应单元:对分析结果做以预定反应的功能单元,可以终止进程、重置连接、改变文件属性等,也可以只实现简单的报警。
(4)事件数据库:存放各种中间和最终数据的存储单元的统称,可以是数据库格式的文件,也可以是简单的文本文件。
6未来入侵检测的研究方向
基于入侵检测系统当前存在的问题和互联网行业的发展趋势,未来入侵检测的主要研究方向有以下几个方面。
6.1基于云计算平台的入侵检测技术
由于入侵检测系统需要大量的计算资源和存储资源,计算资源和存储资源成为入侵检测系统的瓶颈,但云计算平台却具有大量的计算资源和存储资源,能够解决入侵检测系统中资源瓶颈的问题,提高了入侵检测的效率和检测实时性;另外,入侵检测系统是攻击的主要焦点,而云计算系统中的设备分布均隐蔽在云端,很难进行跟踪定位,所以将入侵检测系统部署在云端能够隐匿入侵检测系统的实际位置,攻击者不易对入侵检测系统进行跟踪攻击,保证了入侵检测系统的自身安全。
6.2应用层检测技术的研究
当前,对于网络数据的检测是针对MAC层、网络层和传输层进行解析,判断是否发生入侵行为,而目前入侵行为发展到通过应用层中携带数据对网络和设备进行入侵攻击,因此需要针对应用层的特点开发出能够防范应用层的入侵攻击行为。
6.3智能化的入侵检测技术
由于入侵行为不断升级变种,相应地,入侵检测技术需要根据环境的实时变化进行动态、智能地进化与改良,以应对入侵行为的变异威胁。
6.4结合内存完整性和机密性保护方案
由于内存中数据容易遭遇非法窃取和非法篡改,并将造成巨大的损失。因此,入侵检测系统应该能够检测到内存中数据是否发生了非法访问和非法篡改。
6.5基于物联网的入侵检测
随着物联网的发展,物联网的安全无疑会成为一个重要的问题,由于物联网实现了物体之间的互联,而互联的物体本身都携带有大量的安全信息,那么如何保证物联网中互联实体的互联安全必将成为未来入侵检测的一个重要研究方向。
6.6基于大数据挖掘的入侵检测技术的研究 互联网规模的日益增长,由此产生的网络流量也以指数级速度不断增长,如何在海量的网络流量大数据中快速发现入侵攻击行为,并有效挖掘入侵攻击的模式特征,将会成为未来入侵检测技术研究的一个重要研究方向。
参考文献:
[1]宗坤,徐梦. 计算机网络安全的研究及防范措施[J]. 福建电脑,2009,10:102-103.
[2]United States General Accounting Office.Computer attacks at department of Defense Pose increasing risks[R].WashingtonD.C-GAO/AIMD-96-84 Defense Information Security, 1996.
[3]United States General Accounting Office.Opportunities for improved OMB Over sight of agency Practices[R].WashingtonD.C.:GAO/AIMD-96-110 Information Security, 1996.
[4]公安部公共信息网络安全监察局.2006年全国信息网络安全状况与计算机病毒疫情调查分析报告[R].北京:计算机安全,2006.
[5]BAI Yuebin, KOBAYSHI H. Intrusion detection systems: technology and development [C]//Washington D.C: Proceedings of 17th International Conference on Advanced Information Networking and Applications, 2003:710-715.
[6]于海濤,李梓,姚念民.K-means聚类算法优化方法的研究[J].小型微型计算机系统,2012,10(33):2273-2277.
[7]李梓,于海涛,贾美娟.基于改进模拟退火的优化K-means算法[J].计算机工程与应用,2012,48(30):122-126.
[8]肖立中,邵志清,马汉华等.网络入侵检测中的自动决定聚类数算法[J].软件学报,2008,19(8):2140-2148.
[9]蒋建春, 马恒太.网络安全入侵检测[J].软件学报,2000,10:1460-1466.
关键词:入侵检测系统; 入侵检测技术; 性能指标; 体系结构
中图分类号:TP393.08 文献标识码:A文章编号:2095-2163(2013)02-0062-04
0引言
随着互联网的迅速普及与高速发展,互联网已经进入了全球的各个行业,以及普通家庭。可以说,当今的互联网已是无所不在、且高效全能。只是互联网在给人们的生活、工作带来可见便利的同时,如何保证网络信息的安全和网络设备的安全也日益成为当前人们关注的热点与焦点。
据不完全统计,全球每20秒就会发生一起黑客事件,且由于网络安全问题,每年只是给美国造成的经济损失就高达100亿美元以上[1]。另据报导可知,信息窃取正以250%的速度增长,并且98%的知名公司都经历了网络入侵事件[2-3]。因此,如何防范网络安全已经成为学术界和工业界一个迫在眉睫的重大问题,而其中一项关键技术就是网络入侵检测技术。
1网络入侵检测系统(IDS)
当前的网络安全技术,主要有防火墙技术、杀毒软件和入侵检测技术,其中入侵检测技术是防范黑客攻击的主要方式。形象地说,防火墙是网络安全防范的第一道闸门,而入侵检测系统是位于防火墙后面的第二道安全闸门,入侵检测系统的有效性对于网络设备的安全起着至关重要的决定性作用。入侵检测系统检测入侵攻击行为的过程是,首先由数据采集模块将收集到的主机数据或网络数据进行预处理,解析其中关键数据信息,然后将经过预处理的数据传至入侵检测模块,由其根据入侵规则库或机器学习方法分析是否发生了入侵攻击行为,最后将分析判断结果交至响应模块,响应模块再根据安全的危险等级进行所需的相应处理。
根据采集数据的不同,入侵检测系统可分为三类,基于主机的入侵检测系统(HIDS)、基于网络的入侵检测系统(NIDS)和混合类型的入侵检测系统(HNIDS)[4]。
1.1基于主机的入侵检测系统
HIDS是通过对主机的审计记录和日志文件进行分析来判断是否发生了入侵行为。如果日志文件中出现了异常的活动记录,则入侵行为可能发生或已经成功入侵了本台计算机。系统检测到入侵行为的发生后,要迅速启动相应的响应程序。而当文件系统发生变化时,HIDS则对新的记录与攻击规则进行匹配,如果匹配成功,则向管理员发出警报,以便采取需要的保护措施。
HIDS的优点是监控粒度较细、配置灵活、对网络流量不敏感、无需增加额外的硬件资源等。其缺点是需占用主机的资源,消耗服务器额外的计算资源和存储资源,并且其移植性较差,因此使用范围较为有限。
1.2基于网络的入侵检测系统(NIDS)
NIDS监听网络中的数据包,对于经过IDS网卡的所有数据包都进行采集,通过协议分析技术,逐层解析由MAC层到传输层的各层数据包,并对各层数据包的头部内容实现了精确分析,且与现有的入侵规则库匹配或者利用机器学习、数据挖掘技术来发现入侵行为。
HIDS的优点是检测速度快、实时性较好、系统的隐蔽性高、需要的监测资源较少、可移植性好、且不占用主机资源。但其缺点是,只能监测IDS系统所在的网段,检测粒度较粗,在交换环境中难以进行配置。第2期于海涛,等:入侵检测相关技术的研究智能计算机与应用第3卷
1.3混合类型的入侵检测系统(HNIDS)
为了弥补基于主机的入侵检测系统和基于网络的入侵检测系统的自身缺点,同时集成了两者各自的优点,并将其有机地结合起来,就形成了混合类型的入侵检测系统。HIDS既可以检测出网络的攻击行为,又能够用发现日志系统和审计记录中的异常行为。
2入侵检测技术
根据分析数据的方式不同,入侵检测分为误用(Misuse)入侵检测和异常(Anomaly)入侵检测[5],因其各有优缺点,故在此基础上,提出混合入侵检测技术,实现了两者的取长补短,获得了进一步的完善。
2.1误用检测技术
误用检测的实现前提是通过对各种已知的攻击行为和入侵手段进行分析,求得攻击行为和入侵行为的特征,由此形成入侵规则库。在进行入侵检测时,首先对主机的日志数据、审计记录或网络数据进行预处理,然后与规则库中的入侵规则进行匹配,如果匹配成功则说明发生了入侵行为。该方面的研究大部分集中在如何提高规则库的精度和提升规则匹配的速度。对于规则库的生成主要采用语言分析方法、专家系统;而规则匹配则主要采用字符串匹配的技术。
由误用检测的过程可以看出,其不足表现在只能检测已知的攻击模式,对于未知的入侵行为则无能为力。当出现新的漏洞攻击时,就只能采用人工的方法或机器学习系统,而将新的入侵模式增加至入侵规则库中,因此需要对规则库进行定期更新,由此则入侵检测将滞后于新的入侵行为,较易出现入侵行为漏报的情况。
2.2异常检测技术
异常检测是通过数据分析技术,发现未知的攻击模式和攻击行为,通常是判断与正常行为的偏离程度来确定是否发生了入侵行为,因而无需预先生成入侵规则库。异常检测采用的技术主要有统计分析模型、神经网络、免疫系统方法、基于贝叶斯的推测理论、文件完备性检查。由异常检测的过程分析可知,异常检测中存在着会出现检测误判的情况。另外,异常检测虽然不需要事先建立基于入侵行为特征的入侵规则库,但是却需要事先建立用户正常行为的模式规则库,加之用户的正常行为也在时刻发生着变化,所以异常检测多会面臨着正常行为模式定期更新的问题。 2.3混合检测技术
混合检测技术综合了误用检测和异常检测的优点,克服了各自的缺点,因而既能检测已知的入侵行为,也能检测未知的入侵行为,极大地降低了入侵行为误报和漏报的比例。
3数据挖掘在入侵检测中的应用
在进行入侵规则库的生成和未知入侵行为检测时,大多数采用数据挖掘的理论。实现过程主要采用分类分析法、关联规则分析、时序分析和聚类算法。其中,分类分析是预先确定几个类别,形成一个分类器,对主机数据或网络数据进行分类,判断是正常行为还是入侵行为。关联规则分析是根据数据字段之间的规则和联系展开分析,判断是否发生了入侵行为。序列分析是进行不同数据记录之间的相关性分析,并根据数据记录之间的时间顺序,判断入侵行为是否发生。聚类算法是常用的入侵挖掘算法,该方法通过聚类技术对数据进行分类,由于入侵行为的数量远远低于正常用户行为,在聚类所划分的类别中,如果某个类别中的数据成员数量低于某个阈值,则认为该类中数据是入侵行为。由于聚类算法对于初始中心选择比较敏感,所以需要对初始聚类中心的选择进行优化,防止聚类陷入局部最优解,从而提高聚类的划分质量,文献[6,7]都是根据智能启发算法对初始聚类中心进行优化,使聚类算法跳出局部最优解,获得全局最优的聚类划分,从而提高入侵检测的精度。
4入侵检测的系统评价指标
入侵检测系统的主要指标有:
(1)漏报和误报。误报是将正常的行为误检成入侵行为,而漏报是将入侵行为检测成正常行为,造成入侵行为的漏报。目前有2个指标用于衡量漏报和误报,分别是:检测率和误报率,检测率是检测到的入侵行为与实际的入侵行为数量的比值,而误报率则是正常行为检测成入侵行为的数量与实际正常行为的比值。检测率越高、误报率越低,则说明检测越好[8]。检测率和误报率之间本身就是一对矛盾,当提高检测率,误报率也会随之提高,因此对于检测率和误报率之间的权衡折中一直是入侵检测研究中的关注热点。
(2)系统负荷。系统负荷是指IDS占用主机和网络中资源。顯然,占用资源越少越好。在设计入侵检测系统的时候,通常需要在保证入侵检测质量的同时,还要尽量减少系统资源的占用。
(3)检测延迟时间。检测时间是从发生入侵行为到检测出入侵行为所需要的时间。显然,检测时间越小越好。
(4)抗攻击能力。由于IDS系统会成为入侵者的攻击焦点,所以IDS的抗攻击能力是IDS一个重要的性能指标。
5CIDF标准框架
为了使不同科研机构和IT公司开发的IDS入侵检测系统能够相互兼容,同时提高IDS系统的可扩展性,加州大学的戴维斯分校安全实验室制定了一个入侵检测系统的通用标准框架CIDF(Common Intrusion Detection Framework)。该框架目前已经成为入侵检测研究的一个实施标准,对于入侵检测的大多数研究均已基于CIDF框架[9]。CIDF的框架体系结构如图1所示。
由图1可见,CIDF体系结构各组成部分功能分析如下。
(1)事件产生器:从入侵检测系统外的整个计算环境中获得事件,并以CIDF gidos格式向系统的其他组件提供此事件,其中,gidos是通用入侵检测对象(generalized intrusion detection objects,gido)格式,一个gido可以表示在一些特定时刻发生的一些特定事件,也可以表示从一系列事件中得出的一些结论,甚至还可以表示执行某个动作的指令。
(2)事件分析器:从其他组件接收gidos,对得到的数据进行分析,并产生新的gidos。
(3)响应单元:对分析结果做以预定反应的功能单元,可以终止进程、重置连接、改变文件属性等,也可以只实现简单的报警。
(4)事件数据库:存放各种中间和最终数据的存储单元的统称,可以是数据库格式的文件,也可以是简单的文本文件。
6未来入侵检测的研究方向
基于入侵检测系统当前存在的问题和互联网行业的发展趋势,未来入侵检测的主要研究方向有以下几个方面。
6.1基于云计算平台的入侵检测技术
由于入侵检测系统需要大量的计算资源和存储资源,计算资源和存储资源成为入侵检测系统的瓶颈,但云计算平台却具有大量的计算资源和存储资源,能够解决入侵检测系统中资源瓶颈的问题,提高了入侵检测的效率和检测实时性;另外,入侵检测系统是攻击的主要焦点,而云计算系统中的设备分布均隐蔽在云端,很难进行跟踪定位,所以将入侵检测系统部署在云端能够隐匿入侵检测系统的实际位置,攻击者不易对入侵检测系统进行跟踪攻击,保证了入侵检测系统的自身安全。
6.2应用层检测技术的研究
当前,对于网络数据的检测是针对MAC层、网络层和传输层进行解析,判断是否发生入侵行为,而目前入侵行为发展到通过应用层中携带数据对网络和设备进行入侵攻击,因此需要针对应用层的特点开发出能够防范应用层的入侵攻击行为。
6.3智能化的入侵检测技术
由于入侵行为不断升级变种,相应地,入侵检测技术需要根据环境的实时变化进行动态、智能地进化与改良,以应对入侵行为的变异威胁。
6.4结合内存完整性和机密性保护方案
由于内存中数据容易遭遇非法窃取和非法篡改,并将造成巨大的损失。因此,入侵检测系统应该能够检测到内存中数据是否发生了非法访问和非法篡改。
6.5基于物联网的入侵检测
随着物联网的发展,物联网的安全无疑会成为一个重要的问题,由于物联网实现了物体之间的互联,而互联的物体本身都携带有大量的安全信息,那么如何保证物联网中互联实体的互联安全必将成为未来入侵检测的一个重要研究方向。
6.6基于大数据挖掘的入侵检测技术的研究 互联网规模的日益增长,由此产生的网络流量也以指数级速度不断增长,如何在海量的网络流量大数据中快速发现入侵攻击行为,并有效挖掘入侵攻击的模式特征,将会成为未来入侵检测技术研究的一个重要研究方向。
参考文献:
[1]宗坤,徐梦. 计算机网络安全的研究及防范措施[J]. 福建电脑,2009,10:102-103.
[2]United States General Accounting Office.Computer attacks at department of Defense Pose increasing risks[R].WashingtonD.C-GAO/AIMD-96-84 Defense Information Security, 1996.
[3]United States General Accounting Office.Opportunities for improved OMB Over sight of agency Practices[R].WashingtonD.C.:GAO/AIMD-96-110 Information Security, 1996.
[4]公安部公共信息网络安全监察局.2006年全国信息网络安全状况与计算机病毒疫情调查分析报告[R].北京:计算机安全,2006.
[5]BAI Yuebin, KOBAYSHI H. Intrusion detection systems: technology and development [C]//Washington D.C: Proceedings of 17th International Conference on Advanced Information Networking and Applications, 2003:710-715.
[6]于海濤,李梓,姚念民.K-means聚类算法优化方法的研究[J].小型微型计算机系统,2012,10(33):2273-2277.
[7]李梓,于海涛,贾美娟.基于改进模拟退火的优化K-means算法[J].计算机工程与应用,2012,48(30):122-126.
[8]肖立中,邵志清,马汉华等.网络入侵检测中的自动决定聚类数算法[J].软件学报,2008,19(8):2140-2148.
[9]蒋建春, 马恒太.网络安全入侵检测[J].软件学报,2000,10:1460-1466.