1.一種網絡入侵檢測與防御的可拓求解方法，其特征是：包括下列步驟：?

（1）預處理通過收集到的數(shù)據(jù)報文和網絡拓撲信息，得到構造基元的數(shù)據(jù)，然后構造基元；?

（2）對基元進行可拓變換，擴大已知條件，減少問題的矛盾性；?

（3）建立問題合適的關聯(lián)函數(shù)，進行結點狀態(tài)的可拓識別和防御。?

2.根據(jù)權利要求1所述的網絡入侵檢測與防御的可拓求解方法，其特征是：所述的基元如下：?

（1）報文物元R（t），用于記載網絡數(shù)據(jù)包；?

R(t)={報文,C,V(t)}?

C={時間，協(xié)議類型，源IP，源端口，目標IP，目標端口，?

包容量，傳輸標志，包內容}?

V（t)=C(R），是C的值?

（2）防御事元I，表示對感染點采取的防御措施；?

I=(D,C,V},D=“防御措施標識”?

C={施動對象，支配對象，時間，地點，程序，方式，工具}?

V=C(I)，是C的值?

（3）節(jié)點關系元Q(t)，表示節(jié)點之間的相似關系；?

Q(t)={A,C,V},A=“連通”?

C={前項，后項，程度，容量，內容，聯(lián)系通道，聯(lián)系方式}?

V(t)=C(Q)，是C的值?

其中，容量與內容的值在0～1之間，分別反映兩節(jié)點之間報文容量和內容相似度。?

（4）預警混合元Inf(t),告知檢測到的攻擊；?

Inf(t）={通知,C,V}?

C={攻擊標識，原因，端口，發(fā)布時間，負載標志，尺寸，內容，防御}?

V（t)=C(Inf)，是C的值?

其中，“原因”是關于攻擊所利用的漏洞描述的物元，設為H=(N，c，v)，N={漏洞名}，c={依托軟件，危害，…}，v=c(H)；防御為防御事元。?

3.根據(jù)權利要求2所述的網絡入侵檢測與防御的可拓求解方法，其特征是：所述可拓變換步驟如下：?

（1）R(t)-|R_R(t)、R_T(t)：根據(jù)物元的可擴縮性，把權利要求2所述的報文R(t)可拓處理為接收報文物元R_R(t)和發(fā)送報文物元R_T(t)；?

1）接收報文物元如下：?

R_R(t)={接收報文,C_{R_R},V_{R_R}}?

C_{R_R}={時間，源?IP，源端口，目標端口，?包容量，類型，標志}?

V_{R_R}=C_{R_R}(R_R),是C_{R_R}的值?

2）發(fā)送報文物元如下：?

R_T(t)={發(fā)送報文,C_{R_T},V_{R_T}}?

C_{R_T}={時間，目標端口，目標IP，源端口，包容量，類型，標志}?

V_{R_T}=C_{R_T}(R_R),是C_{R_T}的值?

（2）R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)：根據(jù)物元的可組合性，由接收報文物元R_R(t)和發(fā)送報文物元R_T(t)，得到某一時間間隔△t內接收收到報文的物元R_R_T(t)和傳出報文物元R_T_T(t)；?

1）某一時間間隔△t內接收收到報文的物元R_R_T(t)如下：?

R_R_T(t)={Δt接收報文,C_{R_R_T},V_{R_R_T}}?

C_{R_R_T}={類型，時間段，源IP，源端口，端口，報文數(shù)}?

V_{R_R_T}=C_{R_R_T}(R_R_T)，是C_{R_R_T}的值?

2）某一時間間隔△t內接收收到報文的物元R_T_T(t)如下所示：?

R_T_T(t)={Δt發(fā)送報文,C_{R_T_T},V_{R_T_T}}?

C_{R_T_T}={類型，時間段，目標IP，目標端口，源端口，報文數(shù)}?

V_{R_T_T}=C_{R_T_T}(R_T_T)，是C_{R_T_T}的值?

（3）R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)：根據(jù)物元的可分解性，由R_R_T(t)、R_T_T(t)得到關于包括端口、協(xié)議條件分類的接收報文統(tǒng)計物元R_R_T_C(t)和傳送報文的分類統(tǒng)計物元R_T_T_C(t)；?

1）分類的接收報文物元R_R_T_C(t)如下所示：?

R_R_T_C(t)={Δt發(fā)送報文類名,C_{R_R_T_C},V_{R_R_T_C})?

C_{R_R_T_C}={時間段，報文數(shù)，......}?

V_{R_R_T_C}=C_{R_R_T_C}(R_R_T_C)，是C_{R_R_T_C}的值?

2）分類的發(fā)送報文物元R_T_T_C(t)如下所示。?

R_T_T_C(t)={Δt接收報文類名,C_{R_T_T_C},V_{R_T_T_C}}?

C_{R_T_T_C}={時間段，報文數(shù)，…}?

V_{R_T_T_C}=C_{R_T_T_C}(R_T_T_C)，是C_{R_T_T_C}的值。?

4.根據(jù)權利要求3所述的網絡入侵與防御的可拓求解方法，其特征是：所述進行結點狀態(tài)的可拓識別和防御，包括下列步驟：?

（1）確定關聯(lián)函數(shù)：?

用于入侵識別問題自變量域（a，b）的關聯(lián)函數(shù)，是具有公共端點且最優(yōu)點在a處的關聯(lián)函數(shù)k_l(x,a)；?

（2）根據(jù)所述的報文物元R（t）和所述的某一時間間隔△t內分?類的接收報文物元R_R_T_C(t)和分類的發(fā)送報文物元R_T_T_C(t)中的報文數(shù)，利用關聯(lián)函數(shù)k_l(x,a)，分別計算被攻擊的可能性，然后進行加權計算，進行入侵識別；?

（3）入侵預警：根據(jù)所述的節(jié)點關系元Q(t)中的容量和內容相似度，利用關聯(lián)函數(shù)k_l(x,a)，分別計算受感染的可能性，然后進行加權計算，進行入侵預警；?

（4）入侵防御：根據(jù)入侵識別和受攻擊可能性，用所述的防御事元I(t)，啟動防御措施。?