入侵检测是继防火墙、数据加密等传统安全保护措施后的又一种新的安全保障技术,其作用在于对计算机和网络上的恶意使用行为进行识别和响应。作为安全系统的重要组成部件和其他安全技术手段不可缺少的补充,入侵检测系统已经越来越受到人们的重视,人们对它的依赖程度也越来越高。从理论上说,入侵检测系统(Intrusion Detection System,简称IDS)可以实时检测、反应和保护信息系统,而实际上IDS 与任何其他系统一样有着自身的发展过程。目前的IDS 产品都存在着很大的局限性和脆弱性,而且会首当其冲地受到各种攻击。特别是随着因特网的普及应用,在因特网的环境里,如何及时发现、有效跟踪和及时处理安全隐患,对IDS 提出了更高要求。目前国内外普遍采用在异常检测中引入智能化的方法来解决这些问题。例如采用神经网络、数据挖掘等技术。其中数据挖掘是目前比较理想的一种方法。然而数据挖掘也有其自身的弱点,例如对训练数据的要求很高,如果训练数据中包含噪声,会导致训练结果的偏差。另外,尖锐边界(sharp boundary)也是在入侵检测中应用数据挖掘方法需要解决的问题。而产生尖锐边界的主要原因就是因为0、1 划分机制在建立正常模式中的局限性。为此,我们引入了模糊理论,其基础就是模糊集合论。和经典集合论不同的是,模糊集合论用单位闭区间[0,1]中的某个数值来表示元素隶属某个集合的程度。这种方式更符合人类的理性思维。本文针对入侵检测中的几个问题进行了研究,提出了一些改进的方法。主要研究内容如下:1. 对现有的入侵检测模型及入侵检测技术进行分析,指出存在的问题。2. 在基于模式匹配的入侵检测方法中,采取协议分析的思想对数据包做初步处理,然后 对当前存在的两种模式匹配算法(KMP 算法和BM 算法)进行分析,提出一种改进的BM 算法,改进后的算法从某种程度上降低了入侵检测中丢包率比较高的这一普遍问题问 题。3. 通过对入侵行为特征进行分析,指出模糊逻辑理论应用到入侵检测中的可行性和必要 性。通过对网络数据包各个内容参数的分解,给出了入侵检测中检测攻击的特征参数