作为保护计算机和网络系统的第二道防线,入侵检测系统的应用的越来越广泛。当前信息技术在飞速发展,入侵检测技术的研究也在不断的深入进行。随着攻击水平的提高,尤其是分布式、协同式等复杂攻击模式的出现和发展,以及应用环境的变化,传统的入侵检测技术已不能满足需求,入侵检测技术正向着分布式、智能化发展,形成了以多代理和人工智能技术为基础的新一代入侵检测系统。 入侵检测的发展最终需要依靠核心技术—分析技术的改进。现有的入侵检测分析技术主要有:统计分析、模式匹配、数据重组、协议分析、行为分析等。这些技术有的无法适应高速网络环境,有的算法处理和规则制定的难度大,不能完全满足现今入侵检测系统的需求。目前看来建立具有智能化特征的入侵检测系统是解决这些问题的有效途径,智能技术能够减少人工干预提高系统性能,学习和归纳能够提高匹配效率,聚类分析能够对攻击行为进行分析,攻击知识库能够根据攻击行为的变化自动更新与扩展。 本文在国家863信息安全主题课题(No.2002AA145021)铁道部客票网络安全系统的基础上,针对攻击行为的知识表示和智能分析展开了研究,利用Petri网理论结合人工智能技术建立了适合攻击行为分析与检测的理论和方法。主要内容包括提出一类Petri网子类型判决PN机和着色判决PN机作为攻击行为的描述模型,利用其运行机制来检测攻击,使用着色判决PN机的有色合成解决多模式匹配问题,利用归纳学习方法实现攻击知识库的更新和扩展,文章最后给出了本文的原型系统铁路客票网络安全系统的设计和运行情况。本文的主要工作有以下3个方面: 1.给出了攻击行为建模分析的理论基础。提出两种适用于攻击行为建模的子网即判决PN机和着色判决PN机概念,研究了判决PN机的行为关系,得出了判决PN机的合成操作的行为关系定理;对于连接操作给出了判决PN机的并联,串联,自环连接,抑制弧连接操作的概念,得到了它们的行为关系定理;定义了判决PN机的替代操作和嵌入操作;提出判决PN机的分享合成操作概念,分析并证明了分享合成操作行为关系定理;首次提出有色合成操作概念,给出并证明了有色合成操作的行为关系定理,利用该定理可以实现多模型的合一。本部分内容是后面攻击行为建模的理论基础。 2.给出了使用判决PN机进行攻击建模的方法,以及应用归纳学习方法对攻