基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

摘 要： 面對(duì)復(fù)雜多變的網(wǎng)絡(luò)環(huán)境，傳統(tǒng)的入侵檢測(cè)方法只會(huì)被動(dòng)地響應(yīng)入侵行為，無法檢測(cè)到動(dòng)態(tài)、隨機(jī)攻擊，存在較大的缺陷。為了提高網(wǎng)絡(luò)安全性能，設(shè)計(jì)并實(shí)現(xiàn)基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)，該平臺(tái)由封包采集、欺騙網(wǎng)絡(luò)、欺騙主機(jī)以及動(dòng)態(tài)配置等模塊構(gòu)成。通過WinPcap封包截獲模塊采集數(shù)據(jù)鏈路包，實(shí)現(xiàn)入侵行為的ARP欺騙。采用樹形數(shù)據(jù)結(jié)構(gòu)塑造欺騙網(wǎng)絡(luò)模塊中的虛擬路由，完成入侵行為的網(wǎng)絡(luò)級(jí)誘騙功能。融合主動(dòng)探測(cè)與被動(dòng)探測(cè)的動(dòng)態(tài)配置方法，處理內(nèi)部網(wǎng)絡(luò)狀態(tài)波動(dòng)，對(duì)網(wǎng)絡(luò)配置進(jìn)行及時(shí)更新，增強(qiáng)網(wǎng)絡(luò)適應(yīng)性。實(shí)驗(yàn)結(jié)果表明，所設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)可有效地誘騙入侵者，控制入侵行為，維護(hù)網(wǎng)絡(luò)安全。

關(guān)鍵詞： HoneyGate； 入侵誘控； 入侵監(jiān)測(cè)； 數(shù)字化網(wǎng)絡(luò)平臺(tái)

中圖分類號(hào)： TN926?34； TP393.08 文獻(xiàn)標(biāo)識(shí)碼： A 文章編號(hào)： 1004?373X（2016）20?0133?05

Abstract： In view of the complex network environment， the traditional intrusion detection method only responds to the intrusion behavior passively， and also exists some great defects that it can′t detect the dynamic and random attack. In order to improve the network security performance， the HoneyGate?based digital network platform monitored with invasion deception and control was design and implemented. The platform is composed of packet acquisition， cheat network， cheat host， dynamic configuration and other modules. The WinPcap packet capture module is used to gather the data link package to realize ARP deception of intrusion behavior. The tree?form data structure is used to construct the virtual routing in deception network module to accomplish the network?level deception function against intrusion behavior. The dynamic configuration method of fusing active detection and passive detection is adopted to deal with the fluctuation of the internal network state， update the network configuration timely， and enhance the network adaptability. The experimental results indicate that the designed network platform can lure the intruder effectively， control its intrusion behavior， and maintain the network security.

Keywords： HoneyGate； invasion deception and control； invasion monitoring； digital network platform

0 引 言

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，互聯(lián)網(wǎng)受到入侵攻擊的事件逐漸增加。因此，尋求高效的網(wǎng)絡(luò)入侵檢測(cè)技術(shù)，是網(wǎng)絡(luò)安全領(lǐng)域研究的重點(diǎn)[1?3]。傳統(tǒng)的入侵檢測(cè)方法只會(huì)被動(dòng)地響應(yīng)入侵行為，無法檢測(cè)到動(dòng)態(tài)、隨機(jī)攻擊，存在較大的缺陷。而網(wǎng)絡(luò)入侵誘控能夠檢測(cè)并分析網(wǎng)絡(luò)入侵行為，對(duì)入侵攻擊進(jìn)行主動(dòng)管理。設(shè)計(jì)依據(jù)網(wǎng)絡(luò)入侵誘控的網(wǎng)絡(luò)安全監(jiān)控平臺(tái)，具有重要的應(yīng)用價(jià)值[4?5]。

現(xiàn)存的網(wǎng)絡(luò)入侵檢測(cè)方法存在較多的問題，如文獻(xiàn)[6]提出的依據(jù)主機(jī)的入侵檢測(cè)系統(tǒng)，同操作系統(tǒng)共同監(jiān)測(cè)主機(jī)網(wǎng)絡(luò)的運(yùn)行情況，但是其對(duì)主機(jī)網(wǎng)絡(luò)的穩(wěn)定性要求較高，存在一定的局限性。文獻(xiàn)[1]分析了依據(jù)網(wǎng)絡(luò)的入侵檢測(cè)方法，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行監(jiān)測(cè)，采集有價(jià)值數(shù)據(jù)，若數(shù)據(jù)包同設(shè)置的相關(guān)規(guī)范一致，則進(jìn)行報(bào)警，并終止網(wǎng)絡(luò)通信。該方法需要監(jiān)測(cè)大量的數(shù)據(jù)，效率較低。文獻(xiàn)[7]采用已知的攻擊方法按照設(shè)置的入侵模式，分析是否產(chǎn)生網(wǎng)絡(luò)入侵事件，該方法按照具體的特征進(jìn)行檢測(cè)，具有較高的檢測(cè)精度，但是，僅能檢測(cè)到己知的入侵攻擊。文獻(xiàn)[8]提出基于行為的網(wǎng)絡(luò)入侵檢測(cè)方法，其按照網(wǎng)絡(luò)用戶的行為或資源使用狀態(tài)，分析是否存在網(wǎng)絡(luò)入侵攻擊，但是該方法無法對(duì)總體網(wǎng)絡(luò)的全部用戶行為進(jìn)行分析，存在較高的誤檢率。針對(duì)上述分析的相關(guān)問題，為了增強(qiáng)網(wǎng)絡(luò)安全性能，設(shè)計(jì)并實(shí)現(xiàn)了基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)，該平臺(tái)由封包采集、欺騙網(wǎng)絡(luò)、欺騙主機(jī)以及動(dòng)態(tài)配置等模塊構(gòu)成。

1 基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平

臺(tái)的設(shè)計(jì)與實(shí)現(xiàn)

網(wǎng)絡(luò)入侵誘控技術(shù)可確保網(wǎng)絡(luò)系統(tǒng)的安全。融合網(wǎng)絡(luò)誘騙技術(shù)、主機(jī)誘騙技術(shù)以及動(dòng)態(tài)配置技術(shù)，設(shè)計(jì)并實(shí)現(xiàn)一種基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化的網(wǎng)絡(luò)平臺(tái)，增強(qiáng)網(wǎng)絡(luò)入侵誘控的性能。

1.1 網(wǎng)絡(luò)平臺(tái)總體框架結(jié)構(gòu)設(shè)計(jì)

基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)的總體結(jié)構(gòu)如圖1所示。

圖1描述的網(wǎng)絡(luò)平臺(tái)設(shè)置在內(nèi)外網(wǎng)中的主機(jī)中，該主機(jī)存在三個(gè)網(wǎng)絡(luò)接口，平臺(tái)包括封包截獲模塊、欺騙網(wǎng)絡(luò)模塊、欺騙主機(jī)模塊以及動(dòng)態(tài)配置模塊。封包截獲模塊對(duì)HoneyGate配置的IP地址空間的網(wǎng)絡(luò)傳輸信息進(jìn)行配置和傳遞，欺騙網(wǎng)絡(luò)模塊以及欺騙主機(jī)模塊分別實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)誘騙以及主機(jī)級(jí)誘騙，動(dòng)態(tài)配置模塊探測(cè)內(nèi)部網(wǎng)絡(luò)信息，對(duì)HoneyGate模型的的信息庫(kù)進(jìn)行配置，完成總體網(wǎng)絡(luò)平臺(tái)的動(dòng)態(tài)配置。

1.2 封包截獲模塊設(shè)計(jì)與實(shí)現(xiàn)

HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)，通過風(fēng)波截獲模塊采集傳遞到相應(yīng)網(wǎng)絡(luò)地址區(qū)域中的地址網(wǎng)絡(luò)數(shù)據(jù)包，實(shí)現(xiàn)對(duì)入侵攻擊的ARP欺騙。

1.2.1 WinPcap封包截獲

WinPcap是依據(jù)WIN32平臺(tái)的封包截獲與網(wǎng)絡(luò)分析體系結(jié)構(gòu)，其由包過濾器、低層動(dòng)態(tài)鏈接庫(kù)（packet.dll）以及高層系統(tǒng)無關(guān)庫(kù)（wpcap.dll）組成，如圖2所示。

包過濾器從網(wǎng)卡上捕獲、傳輸以及過濾原始數(shù)據(jù)包，將滿足過濾規(guī)范的數(shù)據(jù)包保存在核心緩沖區(qū)內(nèi)。其通過函數(shù)對(duì)數(shù)據(jù)鏈路層內(nèi)的數(shù)據(jù)進(jìn)行讀寫，設(shè)置網(wǎng)卡為混雜模式。如果原始網(wǎng)絡(luò)數(shù)據(jù)包傳遞到網(wǎng)絡(luò)適配器中，則通過網(wǎng)卡驅(qū)動(dòng)程序采集數(shù)據(jù)包，NDIS中間層驅(qū)動(dòng)程序?qū)?shù)據(jù)包反饋到低層動(dòng)態(tài)鏈接庫(kù)中，再傳輸?shù)絝ilter內(nèi)進(jìn)行過濾處理，將滿足規(guī)范的數(shù)據(jù)包保存在高層系統(tǒng)無關(guān)庫(kù)內(nèi)。通過用戶級(jí)的應(yīng)用程序從高層系統(tǒng)無關(guān)庫(kù)中采集數(shù)據(jù)，完成數(shù)據(jù)鏈路層封包的截獲。

1.2.2 封包截獲模塊工作流程

封包截獲模塊的工作包括接收和發(fā)送兩部分，具體流程如圖3所示。

封包截獲模塊的接收過程為：從配置信息數(shù)據(jù)庫(kù)中，采集HoneyGate設(shè)置的虛擬誘騙環(huán)境的IP地址信息，捕獲傳遞到該IP地址的網(wǎng)絡(luò)原始數(shù)據(jù)包。若捕獲到某IP地址的ARP申請(qǐng)報(bào)文，則反饋準(zhǔn)確的ARP欺騙報(bào)文，否則向欺騙網(wǎng)絡(luò)模塊反饋原始數(shù)據(jù)包。持續(xù)分析網(wǎng)絡(luò)配置信息是否變動(dòng)，如果沒有變動(dòng)，則重復(fù)進(jìn)行原始數(shù)據(jù)包的捕獲工作，否則采集新的監(jiān)控IP地址，再實(shí)施原始數(shù)據(jù)包的捕獲工作。封包截獲模塊的發(fā)送過程，將欺騙網(wǎng)絡(luò)模塊反饋的數(shù)據(jù)包傳輸?shù)酵獠烤W(wǎng)絡(luò)中。

1.3 欺騙網(wǎng)絡(luò)模塊的設(shè)計(jì)

HoneyGate入侵誘控監(jiān)測(cè)模型通過欺騙網(wǎng)絡(luò)模塊中劃分出虛擬路由模塊對(duì)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行虛擬設(shè)計(jì)，實(shí)現(xiàn)入侵行為的網(wǎng)絡(luò)級(jí)誘騙功能，

1.3.1 欺騙網(wǎng)絡(luò)模塊的運(yùn)行過程

欺騙網(wǎng)絡(luò)模塊的運(yùn)行過程主要是虛擬路由模塊的運(yùn)行過程如圖4所示。

欺騙網(wǎng)絡(luò)模塊通過虛擬路由模塊先從配置信息數(shù)據(jù)庫(kù)中采集HoneyGate需要模擬的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，按照該結(jié)構(gòu)信息塑造虛擬路由拓?fù)?；然后欺騙網(wǎng)絡(luò)模塊從封包截獲模塊采集數(shù)據(jù)包并反饋給虛擬路由模塊，虛擬路由模塊采集IP數(shù)據(jù)包后對(duì)虛擬路由拓?fù)淙肟邳c(diǎn)進(jìn)行檢索，獲取入口路由器IP地址、延遲、丟包率等信息；最后虛擬路由模塊分析IP數(shù)據(jù)包的目標(biāo)IP是否同此刻虛擬路由器處于相同的本地網(wǎng)絡(luò)內(nèi)，若不是，則從虛擬路由器的路由表內(nèi)檢索后續(xù)虛擬路由節(jié)點(diǎn)，執(zhí)行路由虛擬拓?fù)溥^程，實(shí)現(xiàn)網(wǎng)絡(luò)級(jí)誘騙；否則停止虛擬路由的工作，向欺騙主機(jī)模塊反饋IP數(shù)據(jù)包，完成主機(jī)級(jí)誘騙。

1.3.2 欺騙網(wǎng)絡(luò)模塊具體實(shí)現(xiàn)

欺騙網(wǎng)絡(luò)模塊的關(guān)鍵過程通過虛擬路由模塊完成，重點(diǎn)是通過樹形結(jié)構(gòu)塑造虛擬路由拓?fù)洌渲械年P(guān)鍵數(shù)據(jù)結(jié)構(gòu)為：

（1） 虛擬路由拓?fù)錁?/p>

如果傳送到某目標(biāo)IP的數(shù)據(jù)包被接收，則后續(xù)的數(shù)據(jù)包也會(huì)傳遞到同一目標(biāo)IP。通過伸展樹網(wǎng)的方式規(guī)劃虛擬路由拓?fù)錁?，提高路由的檢索效率。

1.4 欺騙主機(jī)模塊以及動(dòng)態(tài)配置模塊的設(shè)計(jì)與實(shí)現(xiàn)

1.4.1 欺騙主機(jī)模塊設(shè)計(jì)

網(wǎng)絡(luò)平臺(tái)中的HoneyGate模型將主機(jī)系統(tǒng)功能的模擬在欺騙主機(jī)模塊中進(jìn)行處理，完成主機(jī)級(jí)誘騙。采用數(shù)據(jù)包劃分模塊、協(xié)議操作模塊和應(yīng)用服務(wù)操作模塊，模擬主機(jī)網(wǎng)絡(luò)協(xié)議棧內(nèi)的網(wǎng)絡(luò)層、傳遞層和應(yīng)用層的服務(wù)過程，完成在網(wǎng)絡(luò)協(xié)議棧層次對(duì)入侵進(jìn)行誘控，增強(qiáng)網(wǎng)絡(luò)平臺(tái)處理深度入侵攻擊的能力。

1.4.2 動(dòng)態(tài)配置模塊的內(nèi)部結(jié)構(gòu)

網(wǎng)絡(luò)平臺(tái)的動(dòng)態(tài)配置模塊融合主動(dòng)檢測(cè)以及被動(dòng)檢測(cè)技術(shù)，對(duì)HoneyGate模型中的其他模塊進(jìn)行配置。動(dòng)態(tài)配置模塊的內(nèi)部結(jié)構(gòu)圖如圖5所示。

主控中心是動(dòng)態(tài)配置模塊的關(guān)鍵，網(wǎng)絡(luò)平臺(tái)開始通過HoneyGate入侵誘控模型進(jìn)行入侵行為的檢測(cè)時(shí)，主控中心通過主動(dòng)檢測(cè)模塊對(duì)內(nèi)部網(wǎng)絡(luò)主機(jī)的地址、主機(jī)端口號(hào)和支撐不同服務(wù)的協(xié)議等信息進(jìn)行分析，得到HoneyGate入侵誘控監(jiān)測(cè)的原始配置策略，采用配置調(diào)整模塊將配置策略信息存儲(chǔ)配置信息數(shù)據(jù)庫(kù)中。主動(dòng)檢測(cè)模塊停止運(yùn)行，主控中心按照設(shè)定的時(shí)間對(duì)新網(wǎng)絡(luò)進(jìn)行檢測(cè)，并對(duì)被動(dòng)檢測(cè)模塊進(jìn)行檢測(cè)。主控中心對(duì)比分析主動(dòng)與被動(dòng)檢測(cè)結(jié)果中臨時(shí)文件中的信息，若分析得到內(nèi)部網(wǎng)絡(luò)狀態(tài)存在波動(dòng)，則通過配置調(diào)整模塊對(duì)配置信息數(shù)據(jù)庫(kù)進(jìn)行調(diào)整。

1.4.3 動(dòng)態(tài)配置模塊關(guān)鍵數(shù)據(jù)結(jié)構(gòu)

動(dòng)態(tài)配置模塊的數(shù)據(jù)結(jié)構(gòu)可確保主動(dòng)和被動(dòng)檢測(cè)模塊，依據(jù)數(shù)據(jù)結(jié)構(gòu)將檢測(cè)信息反饋給主控中心。網(wǎng)絡(luò)端口中的信息有端口號(hào)、協(xié)議以及相關(guān)的服務(wù)，檢測(cè)網(wǎng)絡(luò)平臺(tái)中主機(jī)的結(jié)果不僅有網(wǎng)絡(luò)端口信息，還有主機(jī)地址以及開放端口數(shù)。主控中心讀取拓?fù)浣Y(jié)構(gòu)后得到主機(jī)的檢測(cè)結(jié)果，再對(duì)主機(jī)的狀況進(jìn)行對(duì)比，判斷是否存在入侵攻擊行為。詳細(xì)的傳遞數(shù)據(jù)結(jié)構(gòu)為：

（1） 存放各端口信息的結(jié)構(gòu)

2 實(shí)驗(yàn)分析

通過實(shí)驗(yàn)測(cè)試驗(yàn)證所設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)的準(zhǔn)確性，平臺(tái)預(yù)防網(wǎng)絡(luò)攻擊的效果。采用本文設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)檢測(cè)到的入侵事件如圖6所示。

圖6通過面板呈現(xiàn)出入侵事件信息，通過“Summary”能夠獲取入侵事件的起始和終止時(shí)間以及入侵動(dòng)作等信息，獲取的入侵事件的IP地址以及主機(jī)名通過“Visitor”呈現(xiàn)。因此能夠看出本文設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)是有效的，可準(zhǔn)確獲取入侵事件。

2.1 ARP欺騙功能測(cè)試

本文設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)中的HoneyGate模型在宿主機(jī)上配置封包截獲模塊，對(duì)10.10.1.2～10.10.1.5地址段的申請(qǐng)進(jìn)行監(jiān)控，并傳達(dá)出相關(guān)的應(yīng)答報(bào)文。由封包截獲模塊運(yùn)行狀態(tài)可知，封包截獲模塊運(yùn)行前，在入侵者主機(jī)（10.10.39.58）上對(duì)目標(biāo)地址空間10.10.1.2～10.10.1.5發(fā)起的全部申請(qǐng)報(bào)文都無法收到反饋，入侵主機(jī)無法向網(wǎng)絡(luò)接入目標(biāo)地址區(qū)域的主機(jī)，使得傳遞到該網(wǎng)絡(luò)地址區(qū)域的數(shù)據(jù)包出現(xiàn)缺陷，導(dǎo)致對(duì)應(yīng)的虛擬誘騙環(huán)境運(yùn)行中斷。但是當(dāng)所設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)中的封包截獲模塊運(yùn)行后，其可反饋10.10.1.2～10.10.1.5地址區(qū)間的申請(qǐng)，將HoneyGate宿主機(jī)的MAC地址當(dāng)成源主機(jī)地址，并傳達(dá)相關(guān)的反饋申請(qǐng)信息，將入侵者主機(jī)辨別地址區(qū)域內(nèi)的系統(tǒng)連接到網(wǎng)絡(luò)中，使得網(wǎng)絡(luò)數(shù)據(jù)包可向HoneyGate宿主機(jī)傳遞，封包截獲模塊采集到數(shù)據(jù)包反饋給虛擬誘騙環(huán)境，確保該地址區(qū)域中的虛擬誘騙環(huán)境的順利運(yùn)行，完成入侵行為的誘騙。

2.2 虛擬路由功能測(cè)試

通過探測(cè)程序tracert分析入侵主機(jī)（10.10.39.58），進(jìn)而檢測(cè)HoneyGate中的虛擬誘騙環(huán)境 （10.10.1.4）的路由，結(jié)果如圖7所示。通過圖7能夠看出，向虛擬誘騙環(huán)境傳遞的ICMP申請(qǐng)報(bào)文直接向10.10.1.5傳遞。而本文設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)通過設(shè)置HoneyGate虛擬路由功能，可塑造中間路由器10.10.1.1和10.10.2.1，并通過tracert程序?qū)?0.10.1.5的路由信息進(jìn)行檢測(cè)，結(jié)果如圖8所示。

對(duì)比分析圖7和圖8中的虛擬路由檢測(cè)結(jié)果可得，本文設(shè)計(jì)的網(wǎng)絡(luò)平臺(tái)通過HoneyGate入侵誘控模塊中的虛擬路由功能，塑造了兩個(gè)虛擬路由器，欺騙了入侵路由探測(cè)，保證了網(wǎng)絡(luò)的安全。綜合分析上述實(shí)驗(yàn)結(jié)果可得，未采用HoneyGate入侵誘控的網(wǎng)絡(luò)平臺(tái)中，入侵者的檢測(cè)程序會(huì)采集到內(nèi)部網(wǎng)絡(luò)中的敏感信息，同時(shí)使得網(wǎng)絡(luò)母板主機(jī)系統(tǒng)被入侵的程度增強(qiáng)。而采用HoneyGate入侵誘控的網(wǎng)絡(luò)平臺(tái)中，入侵者的探測(cè)程序tracert獲取實(shí)際信息同誘騙信息混淆，使得入侵者無法準(zhǔn)確分析實(shí)際目標(biāo)地址，說明所設(shè)計(jì)的基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)對(duì)入侵者具有較強(qiáng)的誘騙和控制作用，保證了目標(biāo)主機(jī)的安全。

3 結(jié) 論

為了提高網(wǎng)絡(luò)安全性能，設(shè)計(jì)并實(shí)現(xiàn)基于HoneyGate入侵誘控監(jiān)測(cè)數(shù)字化網(wǎng)絡(luò)平臺(tái)。該平臺(tái)由封包采集、欺騙網(wǎng)絡(luò)、欺騙主機(jī)以及動(dòng)態(tài)配置等模塊構(gòu)成。通過WinPcap封包截獲模塊采集數(shù)據(jù)鏈路包，實(shí)現(xiàn)入侵行為的ARP欺騙。采用樹形數(shù)據(jù)結(jié)構(gòu)塑造欺騙網(wǎng)絡(luò)模塊中的虛擬路由，融合主動(dòng)探測(cè)與被動(dòng)探測(cè)的動(dòng)態(tài)配置方法，處理內(nèi)部網(wǎng)絡(luò)狀態(tài)波動(dòng)，對(duì)網(wǎng)絡(luò)配置進(jìn)行及時(shí)更新，增強(qiáng)網(wǎng)絡(luò)適應(yīng)性。實(shí)驗(yàn)結(jié)果說明，所設(shè)計(jì)網(wǎng)絡(luò)平臺(tái)可有效地誘騙入侵者，控制入侵行為，維護(hù)網(wǎng)絡(luò)安全。

參考文獻(xiàn)

[1] 張玲，白中英，羅守山，等.基于粗糖集和人工免疫的集成入侵檢測(cè)模型[J].通信學(xué)報(bào)，2013，34（9）：166?176.

[2] 林龍成，陳波，郭向民.傳統(tǒng)網(wǎng)絡(luò)安全防御面臨的新威脅：APT攻擊[J].信息安全與技術(shù)，2013（3）：20?25.

[3] 嵩天，李冬妮，汪東升，等.存儲(chǔ)有效的多模式匹配算法和體系結(jié)構(gòu)[J].軟件學(xué)報(bào)，2013，24（7）：1650?1665.

[4] 劉雅菲，劉宴兵.WSN中一種新的基于重復(fù)博弈的入侵檢測(cè)研究[J].計(jì)算機(jī)應(yīng)用研究，2013，30（5）：1540?1543.

[5] 劉昊.無線傳感器網(wǎng)絡(luò)中基于相關(guān)性的數(shù)據(jù)融合技術(shù)研究[D].邯鄲：河北工程大學(xué)，2013.

[6] 竇波，陳曉云，李均委.基于數(shù)據(jù)挖掘分析的電力營(yíng)銷稽查監(jiān)控系統(tǒng)[J].新疆電力技術(shù)，2014（3）：92?94.

[7] LIU J， XU G S， ZHENG S H， et al. Data streams classification with ensemble model based on decision?feedback [J]. Journal of China Universities of Posts and Telecommunications， 2014， 21（1）： 79?85.

[8] 彭義春，牛熠，胡琦偉.基于IRBF的入侵檢測(cè)系統(tǒng)的研究[J].計(jì)算機(jī)應(yīng)用與軟件，2013，30（9）：187?190.