基于熵的入侵檢測(cè)研究綜述

韋 堯 王昌達(dá)

(江蘇大學(xué)計(jì)算機(jī)科學(xué)與通信工程學(xué)院 江蘇 鎮(zhèn)江 212013)

0 引 言

網(wǎng)絡(luò)通信技術(shù)的高速發(fā)展使得網(wǎng)絡(luò)安全問(wèn)題日益突出。據(jù)統(tǒng)計(jì)，近年來(lái)，安全事件的數(shù)量出現(xiàn)了成倍增長(zhǎng)的趨勢(shì)。目前網(wǎng)絡(luò)攻擊的手段大約有兩三千種，為了應(yīng)對(duì)這些事件，確保網(wǎng)絡(luò)的安全，市面上出現(xiàn)了各種各樣的安全產(chǎn)品和技術(shù)，例如：防火墻，身份認(rèn)證系統(tǒng)，VPN設(shè)備等。但這些都屬于靜態(tài)檢測(cè)的方法，當(dāng)面對(duì)突發(fā)事件或是需要實(shí)時(shí)監(jiān)控時(shí)，入侵檢測(cè)系統(tǒng)將會(huì)發(fā)揮重要作用。

入侵檢測(cè)系統(tǒng)的原理是通過(guò)收集并分析網(wǎng)絡(luò)中關(guān)鍵點(diǎn)的信息來(lái)判斷網(wǎng)絡(luò)是否被攻擊或網(wǎng)絡(luò)中是否有違反安全策略的現(xiàn)象，并對(duì)這些異?，F(xiàn)象作出反應(yīng)，從而保證網(wǎng)絡(luò)的安全性。

由于網(wǎng)絡(luò)流量具有自相似、重尾分布和長(zhǎng)相關(guān)[1]等特征，而熵值正好可以用來(lái)描述此類特征并分析網(wǎng)絡(luò)流量的分布規(guī)律，所以基于熵的入侵檢測(cè)系統(tǒng)的研究成為近年來(lái)入侵檢測(cè)研究的一個(gè)熱點(diǎn)。

1 入侵檢測(cè)系統(tǒng)

1.1 系統(tǒng)分類

入侵檢測(cè)系統(tǒng)(Intrusion Detection Systems，IDS)是指檢測(cè)入侵的軟件加硬件。入侵檢測(cè)系統(tǒng)有別于防火墻，它對(duì)于網(wǎng)絡(luò)的監(jiān)測(cè)并不影響網(wǎng)絡(luò)的整體性能。一般根據(jù)信息源、檢測(cè)方式，以及響應(yīng)方式三個(gè)不同的方面對(duì)IDS進(jìn)行分類[2]。依據(jù)信息來(lái)源的不同，將入侵檢測(cè)系統(tǒng)分為基于網(wǎng)絡(luò)的IDS和基于主機(jī)的IDS。依據(jù)檢測(cè)的方式不同，將IDS分為誤用IDS和異常IDS。依據(jù)對(duì)入侵攻擊的響應(yīng)方式不同，將入侵檢測(cè)系統(tǒng)分為主動(dòng)IDS和被動(dòng)IDS。這也是目前對(duì)于入侵檢測(cè)系統(tǒng)一種常用的分類方式。

1.2 常見方法

基于特征選擇的入侵檢測(cè)可以做到實(shí)時(shí)地分析和檢測(cè)網(wǎng)絡(luò)中的異常流量，但對(duì)未知的攻擊類型檢測(cè)率低?；诮y(tǒng)計(jì)的入侵檢測(cè)方法適用于離線的非實(shí)時(shí)性的入侵檢測(cè)，但不能確定產(chǎn)生入侵的原因和異常的屬性。基于模型的入侵檢測(cè)系統(tǒng)一般用于監(jiān)測(cè)重要的審計(jì)事件，并在事件發(fā)生后再進(jìn)行具體的審計(jì)分析來(lái)減少系統(tǒng)的負(fù)荷?；跈C(jī)器學(xué)習(xí)的入侵檢測(cè)方法在數(shù)據(jù)量較少時(shí)和動(dòng)態(tài)的檢測(cè)方面效果不理想。

2 基于熵的入侵檢測(cè)研究

熵值可以定量地描述網(wǎng)絡(luò)流量特征，并且檢測(cè)的實(shí)時(shí)性好，對(duì)異常流量反應(yīng)的靈敏度高。此外，基于熵的入侵檢測(cè)識(shí)別網(wǎng)絡(luò)行為只依賴于數(shù)據(jù)包本身，不需要很多安全背景知識(shí)或用戶干預(yù)，在入侵檢測(cè)領(lǐng)域顯示出巨大優(yōu)勢(shì)。用熵值來(lái)檢測(cè)網(wǎng)絡(luò)中異常流量或是評(píng)估網(wǎng)絡(luò)攻擊效果的原理是：一旦有異常流量或是網(wǎng)絡(luò)中有攻擊發(fā)生，網(wǎng)絡(luò)整體流量特征的熵值就會(huì)隨之改變，通過(guò)熵值的變化程度來(lái)檢測(cè)出異常，甚至可以用來(lái)判斷攻擊的效果和類型。而這里所說(shuō)的熵值不只是信息熵，還引申出了活躍熵、相對(duì)熵、條件熵等。

2.1 基于信息熵的入侵檢測(cè)

德國(guó)物理學(xué)家T.Clausius在1865年提出了熵這個(gè)概念，將熵定義為：在一個(gè)可逆的過(guò)程中，輸入熱量相對(duì)于溫度的變化率。1877年左右Boltzmann將熵的概念應(yīng)用到熱力學(xué)中。Boltzmann在熱力學(xué)中對(duì)熵的定義為：

(1)

式中：i標(biāo)記所有可能的微觀態(tài)，而Pi表示微觀態(tài)i的出現(xiàn)的概率，k是玻爾茲曼常數(shù)。一個(gè)系統(tǒng)中微觀狀態(tài)分布越均勻，那么這個(gè)系統(tǒng)就越混亂。

1948年C.E.Shannon將熵的概念引入到信息論中，被稱為信息熵或香農(nóng)熵。熱力學(xué)中的熵度量了微觀狀態(tài)的多樣性或均勻性，將其引入到信息理論中來(lái)看，信息熵也是對(duì)一個(gè)系統(tǒng)不確定性的度量，但它更標(biāo)志著一個(gè)系統(tǒng)不確定性信息量的大小，反映了信息源信號(hào)出現(xiàn)的機(jī)率。

假設(shè)系統(tǒng)處于不同的狀態(tài)，每種狀態(tài)i出現(xiàn)的概率為Pi(i=1,2,…，n)，則該系統(tǒng)的信息熵可以定義為：

(2)

熵值具有極值性，當(dāng)各特征分布狀態(tài)等概率時(shí)，熵值最大，即分布得越均勻，熵值越大，反之則越小。熵值用來(lái)表示特征分布的集中或離散程度，因此信息熵可以用來(lái)表示網(wǎng)絡(luò)流量特征值(如源/目的IP地址，源/目的端口號(hào)，數(shù)據(jù)包長(zhǎng)度等)的分布特征。將網(wǎng)絡(luò)中網(wǎng)絡(luò)流的會(huì)話和數(shù)據(jù)包看成是離散的特征序列，并根據(jù)這些序列求得的信息熵可以反映網(wǎng)絡(luò)的通信狀態(tài)。當(dāng)攻擊到來(lái)時(shí)，某些特征的分布狀態(tài)會(huì)發(fā)生改變，這個(gè)特征的信息熵值就可以作為一種標(biāo)識(shí)來(lái)判斷攻擊的發(fā)生。例如：源IP地址的熵值在某一時(shí)間點(diǎn)突然變大，即說(shuō)明在該時(shí)間點(diǎn)上出現(xiàn)的源IP地址的數(shù)分布是較為分散的，這種情況有可能出現(xiàn)了DDoS攻擊。相反，如果在該時(shí)間點(diǎn)信息熵值突然變小，則說(shuō)明在該時(shí)間點(diǎn)上源IP地址的分布較為集中，這可能是由于蠕蟲病毒試圖感染大批量其余主機(jī)造成的。如果在該點(diǎn)多個(gè)指標(biāo)的熵值同時(shí)出現(xiàn)異常，那么該時(shí)間點(diǎn)存在異常的可能性極大。

用網(wǎng)絡(luò)流量的特征分布計(jì)算其信息熵值，并用信息熵值來(lái)判斷網(wǎng)絡(luò)異常流量的方法相比傳統(tǒng)入侵檢測(cè)方法，效率和準(zhǔn)確率更高，且可識(shí)別多種入侵類型。當(dāng)前國(guó)內(nèi)外相關(guān)研究如下：文獻(xiàn)[4]用NetFlow流量采集信息作為測(cè)試數(shù)據(jù)，測(cè)試數(shù)據(jù)包括：源/目的IP地址，源/目的端口號(hào)四個(gè)屬性。將這四個(gè)屬性的狀態(tài)分布看成一組隨機(jī)的事件，并計(jì)算不同屬性的信息熵，再設(shè)定閾值并判斷入侵。陳鍶奇等[8]發(fā)現(xiàn)源/目的IP與端口、入度與出度、Flow流大小分布(FSD)、數(shù)據(jù)包的總數(shù)量(PKTS)這四個(gè)指標(biāo)的聯(lián)合使用是有效的異常檢測(cè)方案。

用信息熵來(lái)進(jìn)行入侵檢測(cè)也有一定的局限性，它只能體現(xiàn)某一固定時(shí)間節(jié)點(diǎn)的網(wǎng)絡(luò)狀況，而對(duì)于網(wǎng)絡(luò)流量動(dòng)態(tài)的變化過(guò)程則不能很好體現(xiàn)。對(duì)低速DoS攻擊這種對(duì)網(wǎng)絡(luò)流量分布變化不明顯的攻擊類型，信息熵往往檢測(cè)效果較差。

2.2 基于相對(duì)熵的入侵檢測(cè)

相對(duì)熵又稱KL散度(Kullback-Leibler divergence)，是一種用來(lái)描述兩種不同的概率分布差異的值。信息熵可以識(shí)別網(wǎng)絡(luò)異常，但存在兩個(gè)不同的屬性概率分布可以共享相同熵值的問(wèn)題，這意味著兩個(gè)截然不同的概率向量可能具有相同的熵。因此，文獻(xiàn)[6]引入了描述兩個(gè)概率分布差異的相對(duì)熵。假設(shè)有兩個(gè)概率分布P和Q，則它們之間的差異即相對(duì)熵可定義為：

(3)

式中：P是當(dāng)前時(shí)段的屬性概率分布；Q可以表示上一時(shí)段的屬性概率分布，也可以表示系統(tǒng)正常的屬性概率分布，用作基線。當(dāng)且僅當(dāng)P=Q時(shí)，D(P‖Q)=0，表示P和Q的概率分布相同時(shí)它們的相對(duì)熵值等于0。D(P‖Q)值越小，表示P和Q的差異越小，D(P‖Q)值越大，表示P和Q差異越大。

相對(duì)熵檢測(cè)網(wǎng)絡(luò)入侵的原理：當(dāng)攻擊出現(xiàn)時(shí)，當(dāng)前時(shí)段的網(wǎng)絡(luò)流量分布相較于上一時(shí)段的網(wǎng)絡(luò)流量分布有較大差距，于是相對(duì)熵的差會(huì)急劇變化，當(dāng)超出或低于設(shè)定的閾值后，就認(rèn)定攻擊發(fā)生。

文獻(xiàn)[9]基于相對(duì)熵的概念，并類比了方差的概念，提出一種歸一化相對(duì)網(wǎng)絡(luò)熵(NRNE)。NRNE其實(shí)是來(lái)自不同屬性的所有個(gè)體相對(duì)網(wǎng)絡(luò)熵的和求平均。改進(jìn)的NRNE的優(yōu)點(diǎn)在于可以同時(shí)考慮更多的屬性，以便提高檢測(cè)的精度。文獻(xiàn)[11]將相對(duì)熵引入會(huì)話初始化協(xié)議(SIP)網(wǎng)絡(luò)中，用來(lái)反映網(wǎng)絡(luò)流量中的動(dòng)態(tài)變遷。張登銀等[12]對(duì)網(wǎng)絡(luò)流量數(shù)據(jù)集進(jìn)行多維分層，劃定時(shí)間窗口并計(jì)算各個(gè)分析視圖上的相對(duì)熵從而判斷入侵的發(fā)生。

基于信息熵的檢測(cè)算法往往只能檢測(cè)出來(lái)自多個(gè)IP的DoS攻擊，一但發(fā)起攻擊的IP數(shù)量非常少，信息熵檢測(cè)效果較差。而在基于相對(duì)熵的檢測(cè)算法中，任何一個(gè)IP的流量變化都會(huì)引起整個(gè)流量分布的顯著變化，所以對(duì)以上的兩種情況，相對(duì)熵檢測(cè)算法都適用。相對(duì)熵檢測(cè)算法復(fù)雜度低，對(duì)DDoS、Probe等網(wǎng)絡(luò)異常流量檢測(cè)效果較好。不同的攻擊類型具有不同的特征屬性，這些特征屬性在攻擊發(fā)生時(shí)具有一定的內(nèi)在聯(lián)系，而相對(duì)熵卻不能表現(xiàn)出這種聯(lián)系，所以基于相對(duì)熵的檢測(cè)算法在區(qū)分正常的突發(fā)性流量和攻擊流量方面效果較差。

2.3 基于條件熵和聯(lián)合熵的入侵檢測(cè)

信息熵和相對(duì)熵理論的應(yīng)用一般缺少內(nèi)在相關(guān)性的考慮，且特征屬性的選擇對(duì)入侵檢測(cè)的結(jié)果具有很大的影響。條件熵的提出就是為了解決不同特征屬性相關(guān)性的問(wèn)題，從而達(dá)到提高入侵檢測(cè)精度的目的。假設(shè)有兩個(gè)概率分布X和Y，它們的聯(lián)合概率空間為：

(4)

則XY的聯(lián)合熵為：

(5)

則Y關(guān)于X的條件熵為：

(6)

由式(5)和式(6)得到Y(jié)關(guān)于X的條件熵為：

H(Y|X)=H(XY)-H(X)

(7)

H(Y|X)可以理解為：在X給定條件下，Y的條件概率分布的熵相對(duì)于X的數(shù)學(xué)期望，也可以解釋為在已知X的條件下Y的不確定性。即已知H(X)這個(gè)信息量，在H(XY)中除去H(X)剩下的信息量就是條件熵H(Y|X)。

例如：合法用戶的突發(fā)流量對(duì)網(wǎng)絡(luò)的影響，經(jīng)常會(huì)被入侵檢測(cè)系統(tǒng)當(dāng)成網(wǎng)絡(luò)中發(fā)生了DDoS攻擊。在被DDoS攻擊的網(wǎng)絡(luò)中的，攻擊者將源IP地址改為隨機(jī)生成的偽IP地址，使得網(wǎng)絡(luò)中的源IP地址比正常網(wǎng)絡(luò)狀態(tài)下的源IP地址更加分散。在路由穩(wěn)定性原理中，固定的路由跳數(shù)(TTL值)對(duì)應(yīng)的源IP地址不易變化。所以當(dāng)網(wǎng)絡(luò)存在DDoS攻擊時(shí)，數(shù)據(jù)包經(jīng)過(guò)的路由跳數(shù)(TTL值)基本不變，但由于偽造源IP地址使得源IP地址的分布更加分散了，那么關(guān)于TTL的源IP地址的條件熵值會(huì)變大，從而更易判斷出入侵。因此，基于TTL的源IP條件熵檢測(cè)方法對(duì)比傳統(tǒng)的流量檢測(cè)方法在區(qū)分DDoS攻擊和合法用戶的突發(fā)流量上效果更好。

文獻(xiàn)[13]提出了一種基于加權(quán)條件熵的檢測(cè)方法，在現(xiàn)有條件熵理論基礎(chǔ)上，選取具備內(nèi)在相關(guān)性的網(wǎng)絡(luò)特征屬性，將屬性變量的主觀意義和實(shí)際價(jià)值作為度量標(biāo)準(zhǔn)，根據(jù)不同事件產(chǎn)生的影響來(lái)為這個(gè)事件賦予不同的權(quán)值。加權(quán)熵的引用可以放大重要屬性的熵值來(lái)提高檢測(cè)的靈敏性。崔錫鑫等[14]通過(guò)實(shí)驗(yàn)對(duì)比基于信息熵的異常流量檢測(cè)和基于聯(lián)合熵的異常流量檢測(cè)，發(fā)現(xiàn)由于聯(lián)合熵是根據(jù)攻擊特性選取數(shù)據(jù)包數(shù)和連接數(shù)作為分析對(duì)象，這是一種針對(duì)DoS攻擊的檢測(cè)策略，而基于聯(lián)合熵的異常流量檢測(cè)結(jié)果更加精確。

用單一特征屬性作為檢測(cè)的標(biāo)準(zhǔn)，準(zhǔn)確率很低，而條件熵可以反映某種屬性不變的條件下，另一種屬性分布的情況，直觀地體現(xiàn)出它們的內(nèi)在聯(lián)系，對(duì)于端口掃描和非法訪問(wèn)等攻擊手段和未知攻擊方面有良好的識(shí)別效率。但選擇更有效的特征屬性會(huì)對(duì)入侵檢測(cè)的性能和效率有極大的提升，所以根據(jù)不同的攻擊類型選擇不同的特征屬性將是條件熵檢測(cè)算法的一個(gè)難點(diǎn)。

2.4 基于活躍熵的入侵檢測(cè)

基于活躍熵入侵檢測(cè)算法的模型定義如下：整個(gè)網(wǎng)絡(luò)系統(tǒng)包含n臺(tái)主機(jī)，設(shè)為S={s1,s2,…,sn}，每臺(tái)主機(jī)的一次交互動(dòng)作記作一個(gè)動(dòng)作單元v。當(dāng)系統(tǒng)內(nèi)主機(jī)和系統(tǒng)外主機(jī)有交互動(dòng)作時(shí)，動(dòng)作單元v的變化如下：系統(tǒng)外主機(jī)訪問(wèn)系統(tǒng)內(nèi)主機(jī)時(shí)，v值加1，系統(tǒng)內(nèi)主機(jī)訪問(wèn)系統(tǒng)外主機(jī)時(shí)，v值減1。經(jīng)過(guò)n次動(dòng)作后，系統(tǒng)的狀態(tài)序列的集合定義為U={μ1,μ2,…，μn}，則活躍度集合定義為A={a1,a2,…,ak}，其中ai表示系統(tǒng)經(jīng)過(guò)一定的時(shí)間后，狀態(tài)μi出現(xiàn)的次數(shù)。用概率Pi可以表示狀態(tài)μi出現(xiàn)的概率，那么可以定義出相關(guān)各狀態(tài)的活躍度概率集合P={P1,P2,…,Pk}。結(jié)合信息熵理論，則活躍熵的定義如下：

(8)

當(dāng)某一節(jié)點(diǎn)主機(jī)的重要服務(wù)突然停止或這臺(tái)主機(jī)遭到攻擊時(shí)，其他主機(jī)對(duì)該主機(jī)訪問(wèn)卻無(wú)法應(yīng)答報(bào)文的數(shù)量會(huì)急劇地增加。這樣會(huì)使系統(tǒng)產(chǎn)生大量的奇異狀態(tài)，動(dòng)作單元v值一直增加，致使活躍熵值發(fā)生突變。

劉衍珩等[16]基于活躍通信理論將網(wǎng)絡(luò)會(huì)話間的相關(guān)性和信息熵理論結(jié)合。用活躍熵來(lái)檢測(cè)DoS攻擊，與基于信息熵的入侵檢測(cè)方法相比，誤報(bào)率更低，檢測(cè)率更高。文獻(xiàn)[17]用活躍熵理論對(duì)Web模型進(jìn)行檢測(cè)，通過(guò)截獲HTTP協(xié)議的數(shù)據(jù)包，并在協(xié)議頭中提取關(guān)鍵數(shù)據(jù)，例如GET、POST請(qǐng)求參數(shù)，最后對(duì)提取數(shù)據(jù)的活躍熵值進(jìn)行計(jì)算分析。通過(guò)實(shí)驗(yàn)證明，它只對(duì)特定的Web攻擊如SQL注入、DoS攻擊和暴力破解密碼等有效，對(duì)XSS、CSRF、文件上傳漏洞等方面檢測(cè)能力不足。穆祥昆等[18]根據(jù)網(wǎng)絡(luò)流量大小來(lái)控制流窗口區(qū)間的大小，對(duì)進(jìn)出系統(tǒng)的數(shù)據(jù)流統(tǒng)計(jì)后生成NetFlow記錄數(shù)據(jù)，并對(duì)進(jìn)和出兩者的統(tǒng)計(jì)數(shù)據(jù)進(jìn)行活躍熵的計(jì)算，從而判斷異常流量。

基于活躍熵的入侵檢測(cè)方法是在流層面進(jìn)行操作的，對(duì)比基于學(xué)習(xí)模型的檢測(cè)方法，它無(wú)需進(jìn)行大量的特征訓(xùn)練，提升了整體流量指標(biāo)下檢測(cè)的效率，適用于分析整體流量概念下對(duì)大流量異常的檢測(cè)，同時(shí)對(duì)于新出現(xiàn)的DoS變種攻擊也能有效檢測(cè)。但這種方法對(duì)于XSS、CSRF、文件上傳漏洞等方面的檢測(cè)還有欠缺。

2.5 熵值理論與其他算法結(jié)合的入侵檢測(cè)

運(yùn)用機(jī)器學(xué)習(xí)、數(shù)據(jù)挖掘等算法來(lái)進(jìn)行熵的入侵檢測(cè)研究的例子也非常多。文獻(xiàn)[26]利用EWMA控制圖理論對(duì)時(shí)間序列的熵值進(jìn)行檢測(cè)和異常的篩選，并利用行為特征向量對(duì)三種網(wǎng)絡(luò)攻擊進(jìn)行分析和表征，進(jìn)行攻擊識(shí)別，最后，提出了一種基于特征相似性的攻擊識(shí)別方法。文獻(xiàn)[27]將時(shí)間數(shù)據(jù)的離群點(diǎn)檢測(cè)問(wèn)題重新表述為基于熵和時(shí)間序列動(dòng)態(tài)時(shí)間翹曲的加權(quán)聚類問(wèn)題，并通過(guò)一個(gè)新的成本函數(shù)優(yōu)化問(wèn)題來(lái)檢測(cè)異常值。文獻(xiàn)[28]提出了一種新的DDoS攻擊檢測(cè)模型，將Takagi-Sugeno-Kang模糊系統(tǒng)方法和累積和(CUSUM)檢測(cè)方法應(yīng)用于時(shí)間序列熵值的計(jì)算，檢測(cè)靈敏度高，魯棒性好。文獻(xiàn)[29]對(duì)初始聚類中心的選擇進(jìn)行優(yōu)化，并將信息熵與改進(jìn)K-means算法進(jìn)行融合，自動(dòng)確定聚類數(shù)量，輸出穩(wěn)定的聚類結(jié)果。經(jīng)過(guò)主成分分析預(yù)處理后，改進(jìn)的K-means的對(duì)異常檢測(cè)的適應(yīng)性和精度更好，非常適用于移動(dòng)網(wǎng)絡(luò)的異常檢測(cè)。

2.6 基于其他熵值理論的入侵檢測(cè)

除了以上的熵值理論研究，還有更多新的基于熵值理論的入侵檢測(cè)方法被提出。文獻(xiàn)[30]將Renyi交叉熵方法應(yīng)用于信息熵向量檢測(cè)網(wǎng)絡(luò)攻擊。李向軍等[31]將鄰域關(guān)系概念引入直推式入侵檢測(cè)中，用相對(duì)鄰域的信息熵取代原本的特征向量距離，并提出一種抗噪性能強(qiáng)的TCM-RNE異常檢測(cè)算法來(lái)降低誤測(cè)率。文獻(xiàn)[47]提出了一種新的潛在拉普拉斯最大熵辨識(shí)方法(LatLapMED)，該方法利用EM算法結(jié)合幾何熵最小化原理識(shí)別統(tǒng)計(jì)異常，并利用最大熵判別原理結(jié)合效用標(biāo)簽來(lái)識(shí)別異常。

2.7 常見基于熵入侵檢測(cè)方法的優(yōu)缺點(diǎn)匯總

常見的基于熵入侵檢測(cè)方法的優(yōu)缺點(diǎn)，如表1所示。

表1 常見基于熵入侵檢測(cè)方法的優(yōu)缺點(diǎn)

續(xù)表1

3 結(jié) 語(yǔ)

本文探討了入侵檢測(cè)的分類并簡(jiǎn)述了傳統(tǒng)的入侵檢測(cè)方法在網(wǎng)絡(luò)安全領(lǐng)域內(nèi)的應(yīng)用，分析了入侵檢測(cè)系統(tǒng)使用的各方法的缺點(diǎn)和不足。強(qiáng)調(diào)了基于熵值理論的入侵檢測(cè)系統(tǒng)的優(yōu)勢(shì)，即可以比傳統(tǒng)的入侵檢測(cè)系統(tǒng)在流量分析方面得到更精細(xì)的結(jié)果。最后總結(jié)了基于不同熵值的入侵檢測(cè)研究，并歸納出它們相對(duì)應(yīng)的文獻(xiàn)研究。

雖然基于熵值理論的入侵檢測(cè)具有實(shí)時(shí)性高、敏感性高、誤報(bào)率低等特點(diǎn)，但現(xiàn)有研究工作還存在以下問(wèn)題：(1) 基于熵值的入侵檢測(cè)一般應(yīng)用于大規(guī)模的IP骨干網(wǎng)絡(luò)中，對(duì)小規(guī)模網(wǎng)絡(luò)或其他網(wǎng)絡(luò)類型的適用性不強(qiáng)；(2) 選取不同的特征屬性將對(duì)基于熵的入侵檢測(cè)的準(zhǔn)確率和效率產(chǎn)生顯著影響，需要根據(jù)不同的攻擊類型，選擇合適的特征屬性；(3) 各種熵值算法的效率需要進(jìn)一步提升，一些閾值的計(jì)算不夠精確；(4) 對(duì)于未知攻擊的異常流量識(shí)別效率不高，需要進(jìn)一步改進(jìn)。這些問(wèn)題也是基于熵的入侵檢測(cè)鄰域未來(lái)研究的方向。