第七章 入侵检测技术



            统在计算机网络安全入侵检测方面的能力以及存在的不足。实验主要分为两个
            部分：一是对照部分，以市场提供的两款商业软件作为对照，分别为神经网
            络入侵检测软件、专家系统入侵检测软件，前者为 CiscoSystemsSnort，后者为
            AbelssoftHackCheck；二是新系统分析部分，建立防御系统。
                 为对比 3 个系统应对网络安全入侵的能力，实验共进行了以下 3 组。第一组：

            神经网络入侵检测实验（使用 CiscoSys‐temsSnort 系统）。以虚拟内存 4GB、磁
            盘空间 400GB 的计算机作为实验母体，通过计算机的参数调整，模拟 1500 次木
            马攻击，采用 150 倍模拟速率（模拟 1min 相当于实际工作 150min，下同），观

            察系统拦截木马攻击的次数、准确率以及反应时间。第二组：专家系统入侵检测
            实验（使用 AbelssoftHackCheck 系统）。以虚拟内存 4GB、磁盘空间 400GB 的计
            算机作为实验母体，通过计算机的参数调整，模拟 1500 次木马攻击，采用 150
            倍模拟速率，观察系统拦截木马攻击的次数、准确率以及反应时间。第三组：新
            系统入侵检测实验。以虚拟内存 4GB、磁盘空间 400GB 的计算机作为实验母体，

            通过计算机参数调整，模拟 1500 次木马攻击，采用 150 倍模拟速率，观察系统
            拦截木马攻击的次数、准确率以及反应时间。
                 （四）模拟实验结果分析

                 对 3 组实验生成的原始数据进行收集，并加以统计。以 CiscoSystemsSnort 软
            件支持的神经网络入侵检测技术，完成 1457 次拦截，有效拦截 1450 次，准确率
            为 99.52%，对入侵行为的反应时间为平均 0.27s。以 AbelssoftHackCheck 软件支
            持的专家系统入侵检测技术，完成 1470 次拦截，有效拦截 1470 次，准确率为
            99.32%，对入侵行为的反应时间为平均 0.35s。以新设模拟软件支持的入侵检测

            技术，完成 1496 次拦截，有效拦截 1495 次，准确率为 99.93%，对入侵行为的
            反应时间为平均 0.09s。对 3 组实验进行对比，可发现神经网络入侵检测技术对
            入侵行为的反应时间中等，准确率也处于中等水平，但拦截总次数最少。专家系

            统入侵检测技术下，对入侵行为的反应时间最长，拦截次数居于中等水平，但准
            确率最差。以新设模拟软件进行计算机网络安全入侵检测，拦截次数、准确率均
            最高，且反应时间最少。
                 进一步分析发现，以 CiscoSystemsSnort 软件支持的神经网络入侵检测技术设
            有多个神经网络层，有效地提升了其拦截次数、牺牲了一定的反应时间作为检测

            代价。而以 Abelssoft HackCheck 软件支持的专家系统入侵检测技术，采用层次反


                                                                                    199
                                                                                    199