73、基于蜜蜂模型与IPv6的数据挖掘入侵检测技术解析

基于蜜蜂模型与IPv6的数据挖掘入侵检测技术解析

1. 蜜蜂启发的入侵检测模型

在计算机安全领域，借鉴生物行为的模型正逐渐崭露头角。其中，受蜜蜂防御机制启发的模型为入侵检测系统（IDS）带来了新的思路。

1.1 理想检测阈值

在一个理想的检测系统中，就像蜂巢门口的守卫蜜蜂一样，它需要准确地识别并接受所有的同伴，同时拒绝所有的入侵者。守卫蜜蜂会学习同伴和入侵者的特征，并以此作为参考。当有蜜蜂试图进入蜂巢时，守卫会将其特征与参考进行比较，从而决定是否允许其进入。

然而，在实际情况中，区分同伴和非同伴是非常困难的。特别是当两者的特征存在重叠时，或者当接收到的数据包与模板只有很小的相似性时，这种区分就变得更加棘手。因为守卫不能轻易地拒绝一个有效的数据包，但如果允许模板和接收数据包的特征之间存在过多的差异，就会导致更多的入侵者被接受。

1.2 Marmelada方法

Marmelada方法通过计算接收到的数据包中不期望出现的特征的平均数量，并将其与内部特征模板进行比较，来确定一个最佳的接受阈值。如果UA模板与接收到的数据包在一定程度上匹配，则将其分类为入侵数据包；否则，将其分类为可接受的数据包。

这种机制可以减少识别错误，即拒绝有效数据包或接受入侵者。以下是Marmelada方法的完整伪代码：

1. Set initial value for UA(ua1 ,ua2 ,ua3 …,uai)  {ua:
undesirable characteristics that must not be found in the