1.一種基于行為描述的可聯動分布式網絡入侵檢測方法，其特征在于

a)???檢測單元運行過程：

1.）?首先數據包采集器采集網絡上的數據包，并將這些數據放到內存池中交給處理器，

2.）?包頭檢測模塊進行包頭格式檢查確定是否為有效數據包，消除無效數據包，并對異常數據包生成行為描述結構、包頭異常信息和危險指數，

3.）?描述生成模塊掃描有效數據包生成行為描述結構并填充其基本信息，

4.）?網絡連接檢查模塊預處理數據包，將單個數據包信息關聯到網絡連接，

5.）?網絡連接檢查模塊基于信任規則對行為描述數據結構進行檢查，如果合法則直接生成行為描述結構和危險指數，并將數據結構放在可取隊列的后面交給分析器，處理下一個數據結構，

6.）?網絡連接檢查模塊基于誤用規則對不符合信任規則的連接數據結構進行檢查，如果非法則直接生成行為描述結構和危險指數，并將數據結構放在可取隊列的后面交給分析器，處理下一個數據包，

7.）?對于不符合誤用規則的連接數據結構標記為可疑，并將它交給內容檢查模塊，由內容檢查模塊填充行為描述結構中的詳細信息，并進行更詳細的內容檢查，主要是基于敏感字庫對數據包負載部分進行關鍵字的掃描，

8.）?分析器依次到可取隊列中取得每個行為描述數據結構，讀取危險指數，根據危險指數決定操作行為；如果危險指數為可疑，則需要采取進一步的分析操作；這里基于本地行為檢測規則進行簡單分析，如果分析行為差異不大則不改變危險指數仍為可疑，則不僅要保存行為描述數據結構，還要保存詳細的報文信息供信息中心進一步分析，否則將危險指數重置為警告；

9.）?如果危險指數顯示為信任、正常、警告或危險，則分析器只保存行為描述數據到本地數據庫，對于警告或危險的還需立即向控制器發出事件通知；

10.）?控制器周期性地向總控平臺提交最新的行為描述數據，在收到分析器發來的事件通知后，立即向總控平臺轉發該事件通知，如果危險指數為危險需立即向防火墻發出控制命令，采取措施防止危險行為繼續，控制臺還接受來自總控平臺的命令，如本地數據庫更新命令、防火墻控制命令或信息提交命令；

b)總控平臺運行過程：

本地檢測單元向總控提交的數據包括警告通知消息和本地行為描述數據，當總控平臺接收到警告通知消息時，則立即向管理界面發出警告消息，或通過郵件方式通知管理員，并記錄日志，當總控平臺接收到行為描述數據時，在不同的階段有不同的處理方式，總控平臺的運行分為學習階段和決策階段，學習階段是觀察訓練數據集構建行為分類器；決策階段則是利用學習階段構建的行為分類器來對從網上采集的新數據集進行分類即檢測它們是正常還是異常；

在學習階段：

b1.）總控平臺存儲檢測單元提交的每一條微觀行為描述數據，在一定的時間間隔后，從這些數據中提取連接的宏觀行為信息，

b2.）分析宏觀行為描述結構中各域值生成對應的宏觀特征向量，

b3.）掃描生成的宏觀特征向量，將它們作為分類器學習階段的訓練數據集，得到決策函數，

在決策階段：

B4.）總控平臺掃描檢測單元提交的微觀行為描述數據，使用學習階段一樣的算法生成對應的宏觀行為特征向量,

B5.）將連接的宏觀行為特征向量作為決策函數的輸入,

B6.）讀取決策函數的輸出，判斷結果，如果有異常則自動生成誤用檢測規則并要求檢測單元立即更新；同時向管理界面發出警報通知，或者通過郵件通知管理員，并記錄日志，等待管理員做進一步分析后作出判定；如果沒有出現異常，則只是記錄日志信息。