基于多Agent分布式入侵监控系统的研究.pdf

《基于多Agent分布式入侵监控系统的研究.pdf》由会员分享，可在线阅读，更多相关《基于多Agent分布式入侵监控系统的研究.pdf（5页珍藏版）》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。

1、基于多A g e n t 分布式入侵监控系统的研究汪静庄毅王立希(南京航空航天大学计算机科学与工程系，南京2 1 0 0 1 6)E-m a i l：w j 8 0 0 6 2 5 h o t m a i l c o r n摘要文章首先分析了可适应网络安全理论的主要模型P D R 和P 2 D R，在此模型上将多A g e n t 技术运用到网络安全框架模型中。设计并实现了基于多A g e n t 的分布式网络安全系统。该系统构造了多种类型的安全A g e n t，利用多A g e n t 的相互交互、协作来实现分布式网络入侵监控、响应过程，满足网络动态变化的要求。指明了实现系统的关键技术和方

2、法。最后对系统性能进行了测试并做出了简要评价。关键词动态网络安全代理分布式J A D E文章编号1 0 0 2 8 3 3 1 一(2 0 0 6)1 1-0 1 2 8 0 4文献标识码A中图分类号T P 3 9 3R e s e a r c ho fD i s t r i b u t e dI n t r u s i o nM o n i t o r i n gS y s t e mB a s e do nM u l t i-A g e n tW a n gJ i n gZ h u a n gY iW a n gL i x i(D e p t o fC o m p u t e rS c i

3、 e n c ea n dE n g i n e e r i n g，N a n j i n gU n i v e r s i t yo fA e r o n a u t i c sa n dA s t r o n a u t i c s。N a n j i n g2 1 0 0 1 6)A b s t r a c t T h i sp a p e rp r e s e n t st w op r i n c i p l em o d e l s P D Ra n dP 2 D Rc u r r e n t l yu s e df o ra p p l i c a b l en e t w o

4、 r ks e c u r i t yf r a m e w o r k，o nt h eb a s i so fw h i c ha ni m p r o v e dm o d e lP 2 D Rc o m b i n i n gw i t hm u l t i a g e n tt e c h n i q u ef o rt h ei m p l e m e n t a t i o no fn e t s e c u 6 t yf r a m e w o r ki sp r o p o s e d Ad i s t r i b u t e dn e t w o r ks e c u r

5、i t ya r c h i t e c t u r ei sd e s c r i b e d，w h i c hc o m p r i s e sav a r i e t yt y p e so fs e c u r i t ya g e n t s，h a sag o o dp e r f o r m a n c eo ni m p l e m e n t i n gd i s t r i b u t e di n t r u s i o nm o n i t o r i n ga n dc o m p l e t i n gp r o c e s s i n go fr e s p o

6、 n s ew i t ht h ec o m m u n i c a t i o na n dc o l l a b o r a t i o na m o n ga g e n t sa n dm e e t st h en e e d so fd y n a m i cn e t w o r kw i t hh i g he f f i c i e n c y Ak e yt e c h n o l o g yf o rs y s t e mi m p l e m e n t a t i o ni sa l s oi n c l u d e d A tl a s tw eg i v es

7、o m ee v a l u a t i o nf m mt e s t s K e y w o r d s：d y n a m i cn e t w o r ks e c u r i t y，A g e n t，d i s t r i b u t e d，J A D E1 概述随着计算机技术的普及和互联网的快速发展，网络信息安全化这一要求越来越迫切。由于传统的计算机安全理论不能适应动态变化的、多维互联的网络环境，系统安全模型在实践中逐步地发生变化，由一开始的静态的系统安全模型逐渐过渡到动态的安全模型，如P D R t l l 和P 2 D R t l】模型。P D R 2 表示P r o t

8、 e c t i o n、D e t e c t i o n、R e c o v e r y 和R e s p o n s e，即保护、检测、恢复和响应。在研究P 2 D R 模型的基础上，针对信息安全解决难以管理和扩展等缺点分析之后，将来源于分布式人工智能领域的A g e n t技术融人现有网络入侵监控系统，通过检测，决策，响应三维一体的联动，能有效提高系统安全防御能力。本文提出了一个基于多A g e n t 的分布式网络入侵监控系统M A I M S(M u l t i A g e n tb a s e dd i s t r i b u t e dI n t r u s i o nM o

9、n i t o r i n gS y s t e m)。系统入侵检测作为一种积极主动的安全防护技术，提供了对内部攻击、外部攻击和误操作的实时保护，在网络系统受到危害之前拦截和响应入侵具有可扩展性、跨平台性、安全性和开放性等优点。2 基于多A g e n t 的分布式网络入侵监控系统设计M A I M S5 1 人了A g e n t 技术，在每台安全保护主机上都设置了支持多A g e n t 的运行环境，即J A D E 平台囝，由于A g e n t 具有自治性、主动性、协同性、智能性等特点，在整个网络中构造各种安全A g e n t，通过多安全A g e n t 的交互协作，可使信息得到及

10、时的反馈和共享提高网络安全监控系统的主动性和智能性，满足动态网络安全的要求。若A g e n t 在运行过程中失效f 3】，其具有自动回复机制。其系统总体框架结构如图1 所示。M o A(N)HJ R e A(N)7、。7、I n t e r n e t主一主一、一厂I D A(N)Jj F W A(N)G a t e W a y(J A D E 平台)o 一厂，L、，VI n t。t、)掣一半L、I D A(H)IF W A(H)H o s t(J A D E 平台)I D M AH 眦竺!垒!坚!li 呈!垒!坚!龠盘壶(G)L _L C M S(J A D E 平台)图1M A I M

11、S 系统结构图基金项目：航空基金资助项目(编号：0 4 c 5 2 0 0 9)；国家“十五”预研项目资助(编号：4 1 8 0 1 1 5 0 2 0 1)作者简介：汪静(1 9 8 0 一)，女，硕士研究生，研究方向为网络安全。庄毅，女，副教授，主要从事网络安全和分布式计算的研究。1 2 82 0 0 6 1 1 计算机工程与应用 万方数据系统包括六类A g e n t：入侵检测A g e n t(I n t r u s i o nD e t e c t i o nA g e n t，I D A)、监视A g e n t(M o n i t o r i n gA g e n t，M o A

12、)、入侵检测管理A g e n t(I n t r u s i o nD e t e c t i o nM a n a g e m e n tA g e n t，I D M A)、响应A g e n t(R e s p o n s eA g e n t，R e A)，防火墙A g e n t(F i m w a l lA g e n t，F W A)和中间代理A g e n t(P r o x yA g e n t，P r A)。系统中创建了五类安全A g e n t：I D A、M o A、I D M A、R e A、F W A。基本流程如下：进入主机的网络报文首先经过F W A 过滤。过滤

13、后的报文进入I D A。I D A 获取报文后解析其中指定内容，检测引擎根据内部规则，匹配解析内容。若发现入侵行为则将入侵报告给M o A，否则等待下一个报文。瑚A 过滤后的数据将做一份拷贝存储在全局数据库中供I D M A 中的挖掘组件挖掘新的入侵规则；如能确定为人侵信息则直接启动本级R e A，如为可疑信息则提交给I D M A，由其根据其它主机上M o A提交的信息来共同判定是否为人侵。I D M A 接收到来自各个主机M o A 的入侵报告后，根据自己的判定规则确认入侵真假以及入侵危险级别。如果入侵达到高危险级别，即通知R e A。阻断具有相同特征的网络数据包；通过五个A g e n

14、t 的相互协作，构成闭合回路，实现系统的主动防御。2 1I D AI D A 位于单个主机上，监控所在主机的入侵活动实现基于网络的多种入侵检测功能，基于网络的数据源是进出网段的数据包。I D A 封装了入侵检测子模块，其结构如图2 所示。网络报文图2I D A 结构由入侵检测模块根据检测方法来计算入侵可疑度。系统分别采用了基于串匹配(S t r i n gM a t c h i n g)、K S 假检验日t(K o l m o g o r o v S m i m o vT e s t)和S V M【5】(S u p p o r tV e c t o rM a c h i n e)算法等三种检测

15、方法来实现。规则库则提供匹配规则，规则部分来自S n o r t 系统自带规则库，其他来自I D M A 挖掘数据库得到的动态规则。规则库放在文件中，当系统初始化时将每条规则从文件中读入经过语义解析后存放到内存中，规则解析是指根据规则语义对规则进行分解将规则的各个部分按类别存放在规则链表的相应节点中的过程。不同协议T C P、I P 和I C M P 都有一个独立的二维链表与之对应。每个二维链由横向链表与纵向链表构成。链表的横行称为链表头主要存放多个规则的公用属性，如源地址、目的地址、源端口、目的端口等等：链表的纵行称为链表选项主要存放不同的检测属性选项如T C P 标志位、I C M P类型

16、码、数据负载大小等等。所有的规则根据协议、端口、I P 地址、检测属性划分到链表的各个节点中。并将解析后规则的各个部分按类别存放到预先定义的二维规则链表相应节点中并驻留在内存中。I D A 根据入侵规则匹配解析所得报文信息进行模式匹配，即遍历整个规则链表与报文行匹配，首先与横向链表比较，以确认规则链中是否有节点与之匹配；如果匹配成功，再进行纵向链表匹配，确定匹配规则链选项节点。如果匹配均成功。则确定为入侵将消息发送给M o A。发现入侵后，I D A 将自己监控得到的信息形成报告提交给本机M o A。2 2M o AM o A 负责收集I D A 报告上来的有关系统异常活动的情况，各M o A

17、 之间并不互相交互，而是通过其上级代理I D M A 相互作用。对于提交的可疑信息，例如，当来自I D A 的报告表明可能有入侵时，M o A 就会命令本机I D A 继续监视和分析相关的活动，并查找对应可疑访问的历史信息库，若其有历史可疑访问，则提示有攻击的可能，并提高其响应源地址与用户危险等级，随着入侵访问发现的增加，响应源地址及用户危险等级提高：同时长期为正常的实体，其可疑度将会降低。如果经过多次学习优化，可以将其加入到数据库，作为以后判定入侵的参考。如M o A 能判定为人侵，并达到预定危险级别后，则启动本地的R e A 进行防护：如检测方法无法确定是否为人侵行为，M o A 着眼于整

18、个主机将所有的信息进行精简、压缩，并将信息提交给其上级M A I D。M o A 将自己检测到的入侵事件以如下记录形式提交给M A I D：，其中，R e c e i v e T i m e 为检测到入侵时间，M o n i t o r-A g e n t 为M o A 的标识，P r o t o c o l T y p e 为协议种类，S o u r c e A d d r e s s为攻击源地址，T a r g e t A d d r e s s 为目的地址。S o u r c e P o r t 为攻击源端口号，T a r g e t P o r t 为目的端口号，D a n g e r

19、 L e v e l 为危险等级，I n f 0为一些入侵相关信息，I D S T y p e 为I D S 类型。2 3I D M AI D M A 着眼于整个网络，它综合分析来自各个主机的报告，从而得出最终结论，是整个系统的中枢部分，是一个策略中心，由其决定了哪些入侵需要防护、哪些报警要写入日志、哪些消息可以忽略。I D M A 能够发现涉及到多台主机、与网络有关的入侵活动，这种入侵难以被单台主机上的M o A 发现。由I D M A 对汇总的信息进行分析，这样就可同其他主机上的I D A 实现协作检测，如：分布式攻击发生时，当I D A 无法确定是否为人侵行为时，则将一组可以描述远程主机

20、对目的主机的访问特征向量通过M o A 将检测情况上报给I D M A 当I D M A 收到来自各个主机上M o A 的向量后，由I D M A 根据聚类算法进行识别，聚类算法旧对所得到的向量进行相似度的判定来完成分布式协同攻击的检测。同时I D M A 为了挖掘数据库中的新颖模式。提高系统对未知入侵的检测能力，引入数据挖掘子模块。系统采用了A p r i o r i算法同来从全局数据库中挖掘新颖的规则动态更新I D A 和F W A 规则库。除了收集和分析I D M A 报告的数据外I D M A 还能通过控制下级A g e n t，使得不同主机上的A g e n t 能相互作用。从而实现

21、对整个系统的管理。I D M A 控制、管理所有主机的下级A g e n t 的活动。I D M A 根据系统的状态或者管理员的命令向各下级发出不同的控制命令，如启动、停止、配置等，并形成层次结构，并接受上级控制。每个I D M A 都可以将自己的报告通过M V S 提交给管理员。2 4R e AR e A 经过一定的响应策略分析后。将从I D M A 收到的命令转变成防护指令，并将防护指令以消息的形式发送给下级F W A。如是新发现的入侵模式还需更新安全策略。由R e A 或I D M A 启动R e A 来阻断已知本地入侵，并将响应结果汇报给计算机工程与应用2 0 0 1 6 1 11 2

22、 9 万方数据j D M A。2 5F W AF W A 封装了防火墙引擎、防火墙规则库，实时响应R e A 动态更新过滤规则，阻断网络数据包。防火墙引擎根据规则过滤进入本机的数据报文。规则库中的规则由两部分组成：一部分来源于系统自带的规则即静态规则；一部分来自I D M A 发送的规则，即动态规则。F W A 接收从R e A 发送来的指令，并将防护指令及时转化成网络数据报文，其对该源地址的网络数据报文予以特别关注并将其可疑度等级升高，阻断当前入侵者的连接或者阻挡入侵者后续操作的进行执行具体动作更新防火墙规则库，补充到F W A 的规则库。2 6P r AP r A 主要是实现A g e n

23、 t 系统和管理人员的交互。其框架结构如图3 所示。图3P r A 结构P r A 提供了直观的界面显示当前A g e n t 系统的情况并能接收管理人员的命令，动态地对系统进行配置管理。将M a n a g e m e n t 这一要素加入到系统中实现动态模型中的管理监控功能。由于J A D E 平台有安全保护措施。在A g e n t 系统和外界交互过程中，外部程序不能直接访问J A D E 的内部消息，J A D E 也不能直接传递信息给页面，因此采用P r A 来实现通信的功能。P r A 启动之后，一直处于待命状态，当A g e n t 系统任何状态信息变化时，A g e n t 系

24、统将这些事件信息通过A C L 通信机制发送给P r A，并按照定义好的协议进行分装和解析，由P r A 转发给用户界面。当管理人员在用户界面发送命令时，P r A 接受到命令，将此命令封装成A g e n tA C L 消息，再将A g e n tA C L 消息发送给A g e n t 系统并由I D M A 具体解析执行该命令。3系统关键技术的实现3 1J A D E 平台介绍系统采用的是J A D E(J a v aA g e n tD E v e l o p m e n tF r a m e w o r k)平台，它是意大利电信实验室T I L A B(T e l e c o m I

25、 t a l i aL a b)用J a v a编写的一个多A g e n t 中间件，遵循完全的F I P A 规范，提供可视化调试工具，支持多A g e n t 间的协作、移动A g e n t 等等。本系统采用的是J A D Ev 3 2。3 2 多A g e n t 之间通讯系统中内部消息共分为两类：需要回复确认的消息和不需回复的消息。需要回复确认的消息，用于某些重要信息。或在网络中传递易丢失的消息；不需回复的消息，用于消息量大，需频繁发送，或是本地传递不易丢失的消息。系统的消息如图4 所1 3 02 0 0 6 1 1 计算机工程与应用示：注册、注销等为需要回复的消息。当M o A

26、向M A I D 发送注册消息时，只有M o A 注册上之后才能处于监控状态，监视系统的入侵行为。若M o A 没有得到M A I D 的确认消息M o A 再次发送注册信息，直到M o A 注册上为止；入侵信息、状态变化信息、入侵处理完成报告等为不需要回复的消息。当R e A 向M A I D 发送人侵处理消息时不需要M A I D 的确认消息，系统认为信息收到或丢失，不影响系统性能。图4A g e n t 消息机制图3。3 多A g e n t 之间的协作协作指多个A g e n t 围绕一个共同目标而相互配合一起工作。系统中各个安全A g e n t 被分布式设置，A g e n t 之

27、间根据不同的应用环境和需要可以采取多种协作方式。多A g e n t 之间的协作方式在一定程度上受限于A g e n t 之间的功能目标和组织方式。系统中设计了下列多种协作方式：(1)基于直接管理的协作。在层次组织中上级A g e n t 对下级A g e n t 采用直接管理的协作方法，M o A 等安全A g e n t 受到上级M A I D 的协调控制。(2)基于结果共享的协作 8 1。当某个主机上的I D A 检测到入侵时，由M o A 或者I D M S A 判定为人侵则系统将通知R e A 及时响应。R e A 经过一定的响应策略分析后，通知F W A 对该源地址的网络数据报文予

28、以特别关注并将其可疑度等级升高并阻断当前入侵者的连接或者阻挡入侵者后续操作的进行：如是新发现的入侵模式还需更新安全策略。(3)动态交互协作方式。当访问的源地址和用户的可疑度等入侵信息在数据库中有历史记录。若有入侵行为。则可推测有渐进式攻击的可能，将提高该用户的可疑度，若访问可疑度提高到一定程度，则认为是入侵行为，并启动R e A 加以阻断。若无法断定为人侵，又怀疑为分布式入侵，则将本机消息整理发送给I D M A，最终由I D M A 裁决。3 4 规则库每一个基于模式匹配的入侵检测方法都需要已定义的规则库。规则库是由已知攻击方式预先设定入侵规则来构建的，并将其按照定义好的格式保存在文件中。每

29、条规则分为两部分：规则头部和规则选项。规则头部包含规则的操作、协议、源I P 地址和目标I P 地址及其网络掩码和端口。规则选项包括报警信息及需要检测模式信息。如：a l e r tt c pa n ya n y 一 1 9 2 1 6 8 1 0 2 41 1 1(c o n t e n t：”1 0 0O l 8 6a 5 1”；m s g：”m o u n t da c c e s s”；)。以上规则描述了：任何使用T C P 协议连接网络1 9 2 1 6 8 1 0 2 4 中任何主机的1 1 l 端口的数据包中如果出现了二进制数据0 0 万方数据0 18 6a 5，便发出警告信息m

30、 o u n t da c c e s s。规则库将危险分成三级：P a s s、L o g、I n t e r c e p t i o n。P a s s 对入侵报告不做处理；L o g 将入侵报告写入指定日志：I n t e r c e p t i o n 通知F W A 阻断入侵报文。3 5 分布式协同入侵攻击判定系统从远程访问主机和被访问主机中提取一些特征值组成一组1 6 维的特征向量，具体定义如下：f 平均报文大小访问端口数目总报文流量S Y N 标志报文数目S Y N+A C K 标志报文数目S Y N 回应A C K 报文的平均时间间隔报文数据段长度方差值客户端数据包的数据段长度

31、平均值客户端数据包的数据段长度方差值客户端数据包时间间隔平均值客户端数据包时间间隔方差值客户端数据包数目服务端数据包的数据段长度平均值服务端数据包的数据段长度方差值服务端数据包时问间隔平均值服务端数据包时间间隔方差值。系统采用欧几里德距离 9 1 计算样本间距离，样本间距离定义如下：厂了i rD(i)=V I x；1 叫f l l+k。2 叫i 2 I+k 叫加I其中D(i，7)表示i 样本和i 样本之问的距离；表示i 样本的第P 维值；表示i 样本的第P 维值，P 表示向量的维数。根据样本间距离采用K m e a n s 方法将映射到P 维空间中的点划分到不同的簇中，同一簇中的对象具有高相似

32、度，与不同簇中的对象很不相同。对于分布式协同攻击，攻击行为之间存在某种相似性。因而用于描述这组攻击的向量之间也存在了某种相似。通过计算向量之间的相似程度，将其向量划分到不同的簇中，若提交的入侵信息在同一个簇中，则判定攻击存在高相似度，为分布式协同攻击。4 实验性能分析与改进系统为了测试多A g e n t 之间的联动能力，即检测到入侵信息并及时响应以保护网络安全。设计了分布式入侵发生的实验：在实验中(3 台P 41 7 G H z，2 5 6 MR A MP C 机搭建的网络)，系统基于L i n u x 环境实验时选取局域网中3 台机器分别担任攻击机、受保护主机、监控主机角色。网段划分到1

33、9 2 1 6 8 0 2 4中。配置及攻击工具介绍如下：(1)攻击机3 台硬件：P 41 7 G 2 5 6 M：软件：W i n d o w s2 0 0 0、u d p a t t a c k 攻击工具。(2)受保护主机(P C i)硬件：P 41 7 G 2 5 6 M：软件：L i n u x8 0、K y l i x，N I D S。(3)系统监控机(P C a)硬件：P 41 7 G 2 5 6 M；软件：W i n d o w s2 0 0 0、J D K、J A D E。实验结果为图5、图6 所示。(1)在多A g e n t 入侵检测子系统的测试中，响应时间和阻断入侵时间均

34、在3 5 s 以内：(2)通过A g e n t 之间有效协作，完成防护、检测、自动响应、模式提取和规则更新任务，可以很好地完成主动防御的任务；(3)M V S 子系统增加了人员要素，可以根据人员的策略来维护整个网络安全系统。与传统的网络安全体系相比，本系统具有良好的动态可适应性，易于管理，可扩展性好。采用多A g e n t 的层次组织结构简图5 分布式入侵检测阻断入侵I P 时间图6M o A 与M A I D 通讯截图化了网络安全的管理和控制的复杂性，也增强了系统的容错性和健壮性。基于多A g e n t 技术的分布式网络安全系统结构具有很高的灵活性，可按需裁减。在不同的应用环境中，能够

35、适应动态变化的分布式网络环境，根据所需要的安全级别不同，可动态地进行配置重点研究了多安全A g e n t 的协作方式和入侵响应机制实现了不同网络安全组件之问的协作交互，并增加了人员要素实现了M P 2 D R 的模型。目前该系统的实现又引发了一系列新问题的研究探索，如：在M D I D S 中加入一些算法更好地完善数据挖掘模块来动态更新与网络相适应的规则；加入A g e n t 专家系统功能等方面的研究。(收稿日期：2 0 0 5 年9 月)参考文献1 B u d d h i k o tMM，S u r iS，W a l d v o g e lM S p a c eD e c o m p o

36、 s i t i o nT e c h n i q u ef o rF a s tL a y e r 一4S w i t c h i n g C I n：P r o c e e d i n g so fC o n f e r e n c eo nP r o t o c o l sf o rH i g hS p e e dN e t w o r k s，1 9 9 9 0 8：2 5 4 12 F a b i oB e l l i f e m i n e，G i o v a n n iG a i r e，T i z i a n aT r u c c oe ta 1 J A D EP r o-g

37、r a m m e r SG u i d e E B O L h t t p：j a d e c s e l t i f f d o c i n d e x h t n d 2 0 0 4 0 4 0 43 G i o v a n n iR i m a s s a J A D EP e r s i s t e n c eA d d-O nP r o g r a m m i n ga n dM a n a g e m e n tT u t o r i a l E B O L】h t t p：j a d e c s e h i t d o c i n d e x h t m l4 边肇祺，张学工第

38、1 3 章统计学理论和支持向量机，模式识，JJ J M 北京：清华大学出版社2 0 0 0：2 9 75 NC r i s t i a n i n i，JS h a w e-T a y l o r A nI n t r o d u c t i o nt oS u p p o r tV e c t o rM a c h i n e s M C a m b r i d g eU n i v e r s i t yP r e s s，C a m b f i d g e，U K，2 0 0 06 D a v i dH a n d。H e i k k iM a n n i l a。P a d h r a

39、 i cS m y t h P r i n c i p l e so fD a t aM i n i n g M 机械工业出版社，2 0 0 1 0 87 J i a w e iH a n M i c h e l i n eK a m b e r 范明孟小峰挖掘大型数据库中的关联规则，数据挖掘 M】北京：机械工业出版社，2 0 0 1：1 5 58 CP a y n e TM a r k h a m A r c h i t e c t u r ea n dA p p l i c a t i o n sf o raD i s t r i b u t e dE m b e d d e dF i r

40、 e w a l l C I n：1 7 t hA n n u a lC o m p u t e rS e c u r i t yA p p l i c a t i o n sC o n f e r e n c e(A C S A C 0 1)，N e wO r l e a n s，L o u s i a n a，2 0 0 1 1 29 J i a w e iH a n，M i c h e l i n eK a m b e r 数据挖掘概念与技术 M 机械工业出版社2 0 0 1计算机工程与应用2 0 0 6 1 11 3 1 万方数据基于多Agent分布式入侵监控系统的研究基于多Agent

41、分布式入侵监控系统的研究作者：汪静，庄毅，王立希，Wang Jing，Zhuang Yi，Wang Lixi作者单位：南京航空航天大学计算机科学与工程系,南京,210016刊名：计算机工程与应用英文刊名：COMPUTER ENGINEERING AND APPLICATIONS年，卷(期)：2006,42(11)参考文献(9条)参考文献(9条)1.Buddhikot M M;Suri S;Waldvogel M Space Decomposition Technique for Fast Layer-4 Switching 19992.Jiawei Han;Micheline Kamber 数

42、据挖掘概念与技术 20013.C Payne;T Markham Architecture and Applications for a Distributed Embedded Firewall 20014.Jiawei Han;Micheline Kamber;范明;孟小峰 挖掘大型数据库中的关联规则,数据挖掘 20015.David Hand;Heikki Mannila;Padhraic Smyth Principles of Data Mining 20016.N Cristianini;J Shawe-Taylor An Introduction to Support Vector Machines 20007.边肇祺;张学工 第13章统计学理论和支持向量机,模式识别 20008.Giovanni Rimassa JADE Persistence Add-On Programming and Management Tutorial9.Fabio Bellifemine;Giovanni Gaire;Tiziana Trucco JADE Programmers Guide 2004 本文链接：http:/