网络安全中的入侵检测技术研究

断依据，查找和发现网络中存在的入侵性活动子集。
　　（1）基于特征选择的入侵检测技术。该技术首先会在异常活动度量中选出一组能够检测出入侵行为的度量，将其构成入侵行为特征集，然后根据该特征集对潜在的入侵威胁进行预测或对已知的入侵行为进行分类。理想的入侵行为特征集应该具有实时特性，并能够正确的区分异常活动和入侵活动。
　　若与入侵行为有关的度量有n个，则它们所能够构成的子集数可达2n个，这个子集数量是非常庞大的，因而最佳特征集是无法通过穷举法得到的，为解决该问题，可以使用遗传算法来简化特征集的寻找过程。
　　（2）基于贝叶斯推理的入侵检测技术。该技术利用行为的贝叶斯概率值是否超出正常范围阈值来对网络入侵行为进行检测。若在某一时刻时入侵检测的测量集由A1到An总共n个相互独立的测量量组成，每个变量均用1来表示异常，用0来表示正常，若使用I来表示网络用户系统受到入侵攻击，则可以依照贝叶斯定理得出不同侧测量量下的入侵攻击发生概率，即I的可信度：
　　根据上述公式可以推导得到下述用于检测入侵行为的判断公式：
　　从上式中可以看到，只要获得入侵先验概率、异常测量值以及入侵发生时刻各测量到的异常概率即可对入侵行为进行判断，确定网络入侵威胁。
　　（3）基于贝叶斯聚类的入侵检测技术。该技术将具有不同属性的数据进行聚类分析后对异常用户或异常行为等进行区分和判定，确认是否存在入侵行为。应用贝叶斯聚类算法可以对给定的数据进行搜索和分类，从而得到最理想的分类数、用户组群以及用户特征集等子类信息，若能够配合在线检测相关技术可以很好的实现入侵行为的检测。但是需要注意的是，分类实现所使用的方法为自动分类法，该分类法在异常阈值选取方面存在较大的难度。
　　（4）基于数据挖掘的入侵检测技术。随着数字信息规模的逐渐增大，数据挖掘技术被广泛应用于数据分析中进行关联性分析。应用数据挖掘技术对入侵行为进行检测可以从已知的、可记录的数据流中进行内容提取，查找不同数据内容之间存在的潜在关系，并用提取结果对异常入侵和已知入侵等行为进行检测。可用分析数据库越大，则入侵检测效果越好。
　　3.2 误用入侵检测技术
　　误用入侵检测以已知的或已观察到的入侵行为和入侵情况作为参照模式对入侵行为进行模式对比，若入侵行为与参照模式相匹配则可以认为该网络中存在误用入侵行为，若模式不匹配则认为该网络中不存在无用入侵行为。可见，该检测技术中模式