1.一種具有自學(xué)習(xí)能力的入侵檢測系統(tǒng)，其特征在于它包括進(jìn)程和數(shù)據(jù)采集模塊，采集主機中正在運行的進(jìn)程和數(shù)據(jù)信息，進(jìn)程行為分析模塊，進(jìn)程行為分析模塊是基于行為分析模型對主機中的進(jìn)程訪問行為和通信數(shù)據(jù)的行為進(jìn)行分析，檢測出威脅主機安全的各種惡意行為，由惡意行為預(yù)警模塊發(fā)出警告信號，并將這種惡意行為相關(guān)描述進(jìn)入侵行為入庫模塊。

2.根據(jù)權(quán)利要求1所述的一種具有自學(xué)習(xí)能力的入侵檢測系統(tǒng)，其特征在于它還包括臨時庫，提取出來模型自動提取的未必準(zhǔn)確的惡意行為描述，人工修正模塊，人工完善未必準(zhǔn)確的惡意行為描述，行為特征提取模塊，提取出惡意行為的基本特征，匹配特征庫更新模塊，將提取出惡意行為的基本特征入庫并更新原有庫存特征，基于特征匹配的入侵檢測模塊，對下一次相同或相似的惡意行為的基本特征檢測。

3.一種具有自學(xué)習(xí)能力的入侵檢測方法，其具體技術(shù)方案為：

1）如權(quán)利要求1或2所述的入侵檢測系統(tǒng)對主機的進(jìn)程和通信數(shù)據(jù)進(jìn)行監(jiān)測；

2）如權(quán)利要求1或2所述的入侵檢測系統(tǒng)發(fā)現(xiàn)在主機上某個進(jìn)程周期性的對外發(fā)送數(shù)據(jù)；

3）通過行為分析模型發(fā)現(xiàn)這種通信行為與木馬的通信行為十分相似；

4）對該進(jìn)程及通信數(shù)據(jù)進(jìn)行一段時間的監(jiān)測，確認(rèn)該通信行為符合木馬通信行為的特征；

5）將該進(jìn)程的通信行為標(biāo)識為木馬通信行為，并送入臨時行為庫；

6）如果需要人工干預(yù)，對該通信行為進(jìn)行進(jìn)一步的人工確認(rèn)，如果不需要人工干預(yù)，則直接將該通信行為送入惡意行為的基本庫；

7）從惡意行為基本庫中，提取行為的靜態(tài)特征，對當(dāng)前這個木馬通信進(jìn)程，將提取出進(jìn)程的名稱和通信的IP地址信息；

8）將所提取的靜態(tài)特征送入模式匹配特征庫，完成特征庫的更新；

9）入侵之后，入侵檢測系統(tǒng)將依據(jù)這一靜態(tài)特征對主機中的靜態(tài)特征數(shù)據(jù)，進(jìn)行基于模式匹配的檢測，如果該進(jìn)程及進(jìn)程的通信行為再次出現(xiàn)，則直接通過預(yù)警并標(biāo)識該進(jìn)程為木馬惡意進(jìn)程。

4.根據(jù)權(quán)利要求3所述的一種具有自學(xué)習(xí)能力的入侵檢測方法，其特征

在于所述進(jìn)程行為分析的對象為源IP地址、目的IP地址、進(jìn)程ID號、進(jìn)程名稱、文件名稱和IP包特殊字段。