网络攻击检测技术是从网络中收集可能含有攻击痕迹的日志数据，通过对 数据进行分析来发现可能存在的攻击行为。从检测方法的角度可将入侵检测技 术分为两类：异常检测和误用检测。误用检测技术需要事先建立攻击知识模板， 再从日志数据中提炼出攻击证据，通过将攻击证据与攻击知识模板进行匹配， 如果相符则认为是攻击；否则，不认为是攻击。
目前误用检测主要采用确定性推理技术，即推理过程中知识模板和匹配过 程都是精确的。基于确定性推理技术的误用检测能够对某一种网络攻击进行检 测，而不能对该攻击的变体进行检测，也就是说如果攻击者将攻击的过程做少 许变动，就能避开误用检测。造成这一问题的原因是由于误用检测的方式是一 种精确的过程。精确性包含两个方面的含义：知识模板是精确的，模板匹配也 是精确的。因此如果攻击过程稍稍偏离模板定义的过程，则匹配结果就不相符， 导致不能检测出相应的攻击行为。

本发明的目的是为了克服误用检测中确定性推理技术存在的不足，提出一 种基于模糊不确定性推理的攻击检测方法。本发明在提取模糊攻击特征以及建 立模糊知识模板的基础上，采用模糊推理技术对攻击发生的可能性进行检测。 误用检测系统采用本发明提出的方法，能够提高对攻击行为及其变体的检测准 确率。
本发明的一种基于模糊不确定性推理的攻击检测方法整体框架设计流程如 图1所示。具体实现步骤如下：
步骤一、建立模糊攻击知识模板
第1步：提取模糊攻击特征
通过对某一类攻击进行详细分析，提取出针对该类攻击的一组模糊特征， 表示为xj(j＝1，2，…，n)；
第2步：建立模糊知识模板
根据领域专家的经验和知识，利用第1步提取的模糊特征建立模糊知识模 板。模糊知识模板由一组IF和THEN语句组成，如下：

其中是模糊特征xj(j＝1，2，…，n)的取值范围Xj上的模糊 集合，是攻击可能性y的取值范围Y上的模糊集合。
步骤二、建立隶属函数库
在步骤一的基础上，根据领域专家的经验和知识建立模糊知识模板中模糊 集合的隶属函数，生成隶属函数库。定义模糊集合和(i＝1，2，…，m， j＝1，2，…，n)对应的隶属函数分别为和较佳的，隶属函数采用梯形 隶属函数和三角形隶属函数。
步骤三、采集模糊证据
在步骤一的基础上，通过收集网络数据包、操作系统日志、应用系统日志 等，对收集到的数据进行初步过滤后，计算模糊特征xj的具体数量值，用表 示。
步骤四、模糊化
在步骤二和步骤三的基础上，将模糊特征xj的值代入步骤二中建立的隶 属函数，得到对应的隶属度值，用表示，即为模糊化后的模糊证据。
步骤五、进行模糊推理
在步骤四的基础上，进行模糊推理。具体步骤如下：
第1步：建立模糊蕴含关系的隶属函数
根据步骤一建立的模糊知识模板确定特征变量xj(j＝1，2，…，n)与攻击类型 y之间的一个模糊蕴含关系，用表示。模糊关系的隶属函数由下式求得：

其中运算符∧和∨分别是逻辑“与”和逻辑“或”运算。
第2步：进行模糊推理
利用步骤四中得到的模糊证据进行模糊推理，得到攻击y的可能性的 模糊集合模糊集合的隶属函数计算如下：

步骤六、去模糊化
针对步骤五得到的攻击y发生可能性的模糊集合取其隶属函数曲线与横 坐标轴围成面积的重心作为攻击y发生可能性的具体值，计算公式如下：
$u=\frac{\int y{\mu }_{{\tilde{B}}^{\prime }}\left(y\right)\mathrm{dy}}{{\int \mu }_{{\tilde{B}}^{\prime }}\left(y\right)\mathrm{dy}}---\left(3\right)$
其中，u值是一个0到1之间的数，表示通过模糊推理得到的某一攻击发生 的可能性大小。
有益效果
基于模糊不确定性推理的攻击检测中，知识模板和匹配过程都是不精确的， 这种不精确性使得检测过程中即使检测量在一定范围内发生了变动，同样也能 够检测到相应的攻击行为，也就是说，如果攻击者将攻击的过程做少许变动， 检测结果不是相符或者不相符，而是某一攻击发生的可能性发生了变化，因此， 基于模糊不确定性推理的攻击检测方法能够在一定程度上对攻击及其变体进行 检测。

图1为本发明的一种基于模糊不确定性推理的攻击检测方法的整体框架设 计流程图；
图2为本发明实施例的s取值模糊集合的隶属函数；
图3为本发明实施例的y取值模糊集合的隶属函数。

根据上述技术方案，下面结合附图和实施例对本发明进行详细说明。
以口令暴力破解攻击为例对本发明的实施过程进行说明。
首先建立攻击的模糊知识模板，再通过模糊推理对该攻击及其变体进行检 测。
口令破解一般采用暴力破解软件进行破解，其原理是从一个事先定义好的 口令字典库中顺序读取口令，通过尝试的方式进行破解。破解过程中的口令字 典和口令尝试的速率都可以自定义。目前对口令破解的检测方法是通过对尝试 失败的次数特征进行检测，是一种基于确定性推理技术的检测方法，其规则如 下：
IF在T0时间内口令尝试失败的次数x大于N0THEN攻击y是口令破解攻 击。
其中T0和N0都是固定的数量值，如果在T0时间内检测到尝试失败的次数x大 于N0，则认为是攻击，否则不是攻击。
针对上述检测规则，攻击者可以降低口令尝试的频率，只要在T0时间内尝 试的次数小于N0都是正常的，因此攻击者可以改变攻击的方式而逃避检测。
采用本发明的检测方法具体步骤如下：
步骤一、建立模糊攻击知识模板
第1步：提取模糊攻击特征
针对口令暴力破解攻击提取的模糊特征为：时间T0内尝试的次数s。
第2步：建立模糊知识模板
利用第1步提取的模糊特征建立模糊知识模板，设T0为10分钟，模糊知识 模板如下：
IF s is high THEN y is high
IF s is normal THEN y is normal
IF s is low THEN y is low
步骤二、建立隶属函数库
建立s取值的模糊集合high、normal、low以及y取值的模糊集合high、normal、 low的隶属函数，分别为uhigh(s)、unormal(s)、ulow(s)和uhigh(y)、unormal(y)、ulow(y)。s的 隶属函数图形如图2所示，y的隶属函数图形如图3所示。
$u_{\mathrm{low}}\left(s\right)=\left\{\begin{array}{cc}\mathrm{1,}& 0\le s<3\\ -\frac{1}{5}s+\frac{8}{5},& 3\le s<8\\ 0,& s\ge 8\end{array}\right.$
$u_{\mathrm{normal}}\left(s\right)=\left\{\begin{array}{cc}0,& 0\le s<2\\ \frac{1}{3}s-\frac{2}{3},& 2\le s<5\\ 1,& 5\le s<7\\ -\frac{1}{3}s+\frac{10}{3},& 7\le s<10\\ 0,& s\ge 10\end{array}\right.$
$u_{\mathrm{high}}\left(s\right)=\left\{\begin{array}{cc}0,& 0\le s<6\\ \frac{1}{6}s-1,& 6\le s<12\\ 1,& s\ge 12\end{array}\right.$
$u_{\mathrm{low}}\left(y\right)=\left\{\begin{array}{cc}1,& 0\le y<0.3\\ -2y+\frac{8}{5},& 0.3\le y<0.8\\ 0,& 0.8\le y\le 1\end{array}\right.$
$u_{\mathrm{normal}}\left(y\right)=\left\{\begin{array}{cc}\frac{5}{2}y,& 0\le y<0.4\\ 1,& 0.4\le y<0.6\\ -\frac{5}{2}y+\frac{5}{2},& 0.6\le y\le 1\end{array}\right.$
$u_{\mathrm{high}}\left(y\right)=\left\{\begin{array}{cc}0,& 0\le y<0.2\\ 2y-\frac{2}{5},& 0.2\le y<0.7\\ 1,& 0.7\le y\le 1\end{array}\right.$
步骤三、采集模糊证据
对10分钟内口令尝试的次数s0进行检测，进行了两次检测，结果分别为 s01＝7和s02＝4。
步骤四、模糊化
在步骤三的基础上，将s01、s02代入隶属函数uhigh(s)、unormal(s)、ulow(s)，分别 得到对应的值为：unormal(s01)＝1、ulow(s01)＝0.2以及uhigh(s02)＝0、 $u_{\mathrm{normal}}=\left(s_{02}\right)=\frac{2}{3},$$u_{\mathrm{low}}\left(s_{02}\right)=\frac{4}{5}.$
步骤五、进行模糊推理
第1步：建立模糊蕴含关系的隶属函数
根据步骤一建立的模糊知识模板建立模糊蕴含关系其隶属函数如下：

其中运算∧和∨分别是逻辑“与”和逻辑“或”运算。
第2步：进行模糊推理
利用步骤四中得到的模糊证据unormal(s01)＝1、ulow(s01)＝0.2以及 uhigh(s02)＝0、进行模糊推理，得到攻击y的可能性的模糊 集合B1、B2，其隶属函数分别为：
$u_{B_1}\left(y\right)=\left\{\begin{array}{cc}0.2,& 0\le y<\frac{2}{25}\\ \frac{5}{2}y,& \frac{2}{25}\le y<0.4\\ 1,& 0.4\le y<0.6\\ -\frac{5}{2}y+\frac{5}{2},& 0.6\le y<\frac{14}{15}\\ \frac{1}{6},& \frac{14}{15}\le y\le 1\end{array}\right.$
$u_{B_2}\left(y\right)=\left\{\begin{array}{cc}0.8,& 0\le y<0.4\\ -2y+\frac{8}{5},& 0.4\le y<\frac{7}{15}\\ \frac{2}{3},& \frac{7}{15}\le 0.4<\frac{11}{15}\\ -\frac{5}{2}y+\frac{5}{2},& \frac{11}{15}\le 0.4<1\end{array}\right.$
步骤六、去模糊化
针对步骤五得到的攻击y发生可能性的模糊集合B1、B2，取其隶属函数曲线 与横坐标轴围成面积的重心作为攻击y发生可能性的具体值，计算方法如下：
$u=\frac{\int \mathrm{y\mu }\left(y\right)\mathrm{dy}}{\int \mu \left(y\right)\mathrm{dy}}$
通过计算分别得到μ1＝0.4982、μ2＝0.4168。
也就是当在10分钟内检测到口令尝试为4次和7次时，其为口令破解攻击 的可能性分别为41.68％和49.82％。
为说明本发明的效果，利用上述数据，重新用确定性推理的攻击检测方法 进行测试。若确定性推理的攻击检测定义当在10分钟内检测到口令尝试小于10 次，认为是合理的，则2次检测的结果都认为是合理的。
结论：基于模糊不确定性推理的攻击检测方法更优。
虽然结合附图描述了本发明的实施方式，但是对于本领域技术人员来说， 在不脱离本发明原理的前提下，还可以做出若干改进，这些也应视为属于本发 明的保护范围。