互联网作为上个世纪后半期最重大的发明之一,对整个人类社会产生了重大而深远的影响。网络在带给我们方便的同时,也使我们的资源因为能为数以万计的用户所访问而变得更加脆弱,因此,保护计算机资源免受损害,保证所存储数据免于被恶意用户盗窃、破坏或滥用就变得尤为重要了。为了实现这样的目标,很多安全工具相继开发、使用,入侵检测系统(Intrusion Detection System,简称IDS)就是其中之一。 面对大量网络入侵事件,入侵检测与入侵响应技术都十分重要,但是目前国内外的相关研究大都集中在入侵检测系统的检测技术方面,现有的IDS已经具备比较先进的检测技术,特别是混合型入侵检测系统(Hybrid Intrusion Detection System),它不仅能监视网络数据包的活动,同时也可以从系统主机日志信息中发现异常情况;与检测技术相反的是,入侵响应的研究明显滞后,很多响应仍停留在手动响应的阶段,然而实验证明,响应的及时性对于成功阻止一次入侵是至关重要的。 入侵响应系统按响应的速度分为三类:报警型响应系统、手动响应系统、自动响应系统,其中自动响应因为能更快地对入侵事件做出即时的反应而成为最理想的响应方式,也是当前研究的一大热点。但目前的响应机制都是针对单个报警事件的事后响应,忽略了攻击事件发生前后可能存在的联系,加之响应系统对每个报警事件都给予响应,常常会因为对分析引擎产生的误报事件的响应而引起系统资源的无谓消耗,更甚者导致整个系统的瘫痪。 基于以上背景,作者在混合型IDS的架构下提出了一个基于预测的改进入侵自动响应模型。在这个模型中,作者引入了事件相关性和事件分级的思想,利用混合型IDS能捕捉到比较全面的攻击事件的优势,先对所有报警事件进行过滤再予以响应,并在响应当前报警事件的同时根据报警信息之间的关系,对进一步可