由于误报率低并且报警结论明确，滥用检测一直是实践中入侵检测系统(IDS)主要采取的技术。同时，面对现实中越来越多的多阶段入侵，人们的共识是将多阶段入侵视为由多个行为组成、持续一段时间且分布在一定空间范围的过程，提炼入侵作用在系统各阶段、各层面上的特征细节，然后在滥用检测的框架下进行检测。因此在入侵的新形势下，滥用检测必将发挥更加重要的作用。描述是检测的前提，滥用检测的效果严重依赖于规则库的质量。只要规则库不完备，IDS就一定会漏报；只要规则不精确，IDS就一定会误报。然而，目前规则库的建立主要依赖人类专家的经验，从入侵特征的抽取、编码到实现的每一步都可能引入有效性的缺失，存在正确性和完备性难以保证、以及维护成本高的缺点。随着新攻击的不断涌现，而且新攻击多数表现为多阶段复杂攻击，完全依赖人工保证规则库的有效性将变得越来越困难，从而对其进行系统研究并开发有助于提高它的质量的方法和工具成为非常现实而迫切的需求。 本文对滥用IDS中入侵表示问题进行研究，全面分析了引起规则库有效性缺失的原因，探索了限制这种缺失的可能方法和工具，目标是提高规则库的质量，并以此来提高滥用IDS的检测精度。本论文从四个方面展开了研究：入侵表示的分类和比较、检测语言模型、入侵检测规则的冲突检查以及滥用IDS的评估方法。首先对入侵表示的一般性质和需求进行研究，通过对现有的入侵表示技术进行分类和比较，目的是回答“对特定的应用需求，什么样的入侵表示技术更合适?进一步地说，如果现有的入侵表示技术都不理想，那么存在的问题以及可能的优化方向是什么?”这样的问题。本文从两个层次进行分类和比较，首先按照本体约束(这是入侵表示最本质的属性，与观察入侵的角度和方式有关)将入侵表示技术分成行为规则、行为的因果关系、行为的扩散性、行为的无目的性和系统状态模式6个大类。通过对本体约束的比较，揭示了行为规则本体约束的普适性以及在面临网络环境和多阶段入侵时使用不便的缺点，指明了入侵表示技术的研究方向。 本文进一步对行为规则类的对象(统称检测语言，是入侵表示领域的主要成果，并且数量上具有了一定规模)进一步细分和比较，提出了由表达能力、表示简洁性和检测强度3个测度组成的评估方法，使得至少在这3个方面可对检测语言进行准确的定量的比较。理想的检测语言是在每个方面最优，但实际上很难做到，设计者通常要针对应用有所取舍，但本文没有考虑这个问题。基于传统检测语言在面临网络环境和多阶段入侵时表现出的缺点，本文将面向对象的系统分析和设计方法引入检测语言，提出一种基于对象的检测语言模型OBDL。利用OBDL，人类专家在抽取和描述入侵特征的过程中，能够充分地、自由地运用抽象，因此入侵特征可以以最符合人类思维模式的形态存在，不仅容易理解而且能够提高入侵特征的通用性，使滥用IDS具备一定的检测入侵变型的能力。本文详细介绍了OBDL的基本原理，给出了OBDL的抽象语法，最后给出了OBDL的实现模型——一种扩展的不确定性有穷自动机ENFA，以及将陈述性的0BDL特征变换成ENFA的算法。 由于入侵特征的抽取和表示主要由人类专家手工进行，无论专家们如何小心谨慎、检测语言的设计如何巧妙，错误总是在所难免。为此，提出一种面向单事件特征的冲突检查方法，它能够发现同一事件同时匹配两条或多条入侵检测规则的冲突现象。冲突导致检测结果的不确定性。对Snort规则库的实验表明：冲突在规则库中是实际存在的，而且以交叉冲突为主，这与人类思维的局限性有关。虽然仅从规则之间的形式冲突，无法直接推断入侵检测规则的完备性和精确性，但它至少为安全专家有目的地检查规则质量提供有价值的参考。 由于入侵表示与实现它的IDS是紧耦合的，使得即使在检测语言、安全专家和形式检查的多方努力下入侵检测规则正确无误，仍不代表IDS就得到期望的检测结果，这与滥用IDS的实现质量有关，因此最后研究评估滥用IDS实现质量的方法。从滥用IDS的原理出发，本文分析了目前评估方法在应用于滥用IDS时存在的问题，提出对规则库和IDS实现分别评估的原则，重点研究了IDS实现的测度选取，并分类讨论了测度计算的总体思路。在此基础上，本文给出了面向滥用。IDS实现的评估系统的实现模型，并实现了一个评估原型系统。尽管在实现中做了简化，但原型系统基本保持了评估方法的思想，目前它可以用于基于单报文分析的入侵检测系统的性能评测。利用原型系统对所在实验室的IDS和Snort的实验表明：本文方法能够更真实地反映出滥用IDS的质量，具有很好的实用性。