CN103475662B - 网络入侵防御的可拓求解方法 - Google Patents

Abstract

本发明公开了一种网络入侵防御的可拓求解方法，包括（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。本发明用包括相关数据的各种基元对问题进行抽象；通过对物元的可拓处理，扩大已知条件，降低问题求解的矛盾性；确定具有公共左端点，且最优点在左端点的关联函数为问题域的关联函数；用此关联函数进行多特征融合的攻击识别、攻击预警；并针对蠕虫，给出了防御步骤。

Description

网络入侵防御的可拓求解方法

技术领域

本发明用于解决网络的入侵防御问题，涉及网络攻击的检测、预警和防御的这一矛盾问题的可拓求解方法。

背景技术

网络的入侵检测是指通过对计算机网络或计算机系统若干关键点收集信息并对其进行分析，从而发现网络或系统中是否有违反安全策略的行为和被攻击的迹象并作出反应的过程。网络入侵防御指通过一定的响应方式，实时地中止入侵行为的发生和发展，实时地保护信息系统不受实质性攻击的一种智能化的安全技术。网络入侵检测已成为继防火墙后，不可或缺的网络安全保障技术之一。常用的检测方法有异常检测和误用检测，技术主要是基于特征的匹配和基于特征的分类，方法上有神经网络学习法，支持矢量机法，聚类分析等；情景分析方法，如入侵关联跟踪、态势分析等。

可拓学是用形式化模型研究事物拓展的可能性和开拓创新的规律与方法，用以解决矛盾问题的科学。为了形式化描述客观世界的物、事(物与物之间的相互作用)和关系(物物、物事及事事之间关系)，可拓论建立了物元R=(N，C，V)、事元I=(D，C，V)和关系元Q=(A，C，V)分别作为物、事和关系的表示形式，物元、事元和关系元，统称为基元，是可拓论的基础。它们在组成上类似，由三元组组成。其中，N是名词，是物名；D是动词，表示事的行为；A是名词，是关系名。二元组(C，V)表示对应的特征与特征值，是多维的。如果基元是随时间变化的，可记为：R(t)、I(t)、Q(t)等。

在可拓论中，用关联函数来刻画论域中的元素具有某种性质的程度，把“具有性质P”的事物从定性描述拓展到“具有性质P的程度”的定量描述。关联函数使问题的关联度的计算不必依靠主观判断或统计，而是根据对事物关于某特征的量化要求的范围X₀=<a,b>和质变的区间X=<c，d>来确定。这使关联函数摆脱了主观判断造成的偏差。关联函数的值由距值与位值决定。距表示点与区间的距离。当最优点x₀发生在区间中间时，为一般意义上的“距”；最优点发生左半区间或右半区间时，称为“侧距”。位值表示一个点与两个区间或两个区间之间的距离。

网络安全理论的核心是对无边界系统的安全理论的研究。无边界意味着网络安全问题具有矛盾问题之特性。这也正是用常规求解方法解决网络入侵与防御问题的困难所在。尝试用可拓理论解决网络安全问题，只见2例。赵玲针对DARPA抽出的通用入侵检测系统模型CIDF，给出了事件分析器物元模型的构造；肖敏等人把可拓理论用于基于特征的入侵检测中，给出了攻击的基于特征的物元，研究了其在流量异常中的应用。

发明内容

本发明的目的在于提供一种可有效解决网络入侵防御的网络入侵防御的可拓求解方法。

本发明的技术解决方案是：

一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：

（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；

（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；

（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。

所述的基元如下：

（1）报文物元R（t），用于记载网络数据包；

R(t)={报文,C,V(t)}

C={时间，协议类型，源IP，源端口，目标IP，目标端口，

包容量，传输标志，包内容}

V（t)=C(R），是C的值

（2）防御事元I，表示对感染点采取的防御措施；

I=(D,C,V},D=“防御措施标识”

C={施动对象，支配对象，时间，地点，程序，方式，工具}

V=C(I)，是C的值

（3）节点关系元Q(t)，表示节点之间的相似关系；

Q(t)={A,C,V},A=“连通”

C={前项，后项，程度，容量，内容，联系通道，联系方式}

V(t)=C(Q)，是C的值

其中，容量与内容的值在0～1之间，分别反映两节点之间报文容量和内容相似度。

（4）预警混合元Inf(t),告知检测到的攻击；

Inf(t）={通知,C,V}

C={攻击标识，原因，端口，发布时间，负载标志，尺寸，内容，防御}

V（t)=C(Inf)，是C的值

其中，“原因”是关于攻击所利用的漏洞描述的物元，设为H=(N，c，v)，N={漏洞名}，c={依托软件，危害，…}，v=c(H)；防御为防御事元。

所述可拓变换步骤如下：

（1）R(t)-|R_R(t)、R_T(t)：根据物元的可扩缩性，把权利要求2所述的报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)；

1）接收报文物元如下：

R_R(t)={接收报文,C_{R_R},V_{R_R}}

C_{R_R}={时间，源IP，源端口，目标端口， 包容量，类型，标志}

V_{R_R}=C_{R_R}(R_R),是C_{R_R}的值

2）发送报文物元如下：

R_T(t)={发送报文,C_{R_T},V_{R_T}}

C_{R_T}={时间，目标端口，目标 IP，源端口，包容量，类 型，标志}

V_{R_T}=C_{R_T}(R_R),是C_{R_T}的值

（2）R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)：根据物元的可组合性，由接收报文物元R_R(t)和发送报文物元R_T(t)，得到某一时间间隔Δt内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t)；

1）某一时间间隔△t内接收收到报文的物元R_R_T(t)如下：

R_R_T(t)={Δt接收报文,C_{R_R_T},V_{R_R_T}}

C_{R_R_T}={类型，时间段，源 IP，源端口，端口，报文数}

V_{R_R_T}=C_{R_R_T}(R_R_T)，是C_{R_R_T}的值

2）某一时间间隔△t内接收收到报文的物元R_T_T(t)如下所示：

R_T_T(t)={Δt发送报文,C_{R_T_T},V_{R_T_T}}

C_{R_T_T}={类型，时间段，目标IP，目标端口，源端口，报文数}

V_{R_T_T}=C_{R_T_T}(R_T_T)，是C_{R_T_T}的值

（3）R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)：根据物元的可分解性，由R_R_T(t)、R_T_T(t)得到关于包括端口、协议条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t)；

1）分类的接收报文物元R_R_T_C(t)如下所示：

R_R_T_C(t)={Δt发送报文类名,C_{R_R_T_C},V_{R_R_T_C})

C_{R_R_T_C}={时间段，报文数，......}

V_{R_R_T_C}=C_{R_R_T_C}(R_R_T_C)，是C_{R_R_T_C}的值

2）分类的发送报文物元R_T_T_C(t)如下所示。

R_T_T_C(t)={Δt接收报文类名,C_{R_T_T_C},V_{R_T_T_C}}

C_{R_T_T_C}={时间段，报文数，…}

V_{R_T_T_C}=C_{R_T_T_C}(R_T_T_C)，是C_{R_T_T_C}的值

所述进行结点状态的可拓识别和防御，包括下列步骤：

（1）确定关联函数：

用于入侵识别问题自变量域（a，b）的关联函数，是具有公共端点且最优点在a处的关联函数k_l(x,a)；

（2）根据所述的报文物元R（t）和所述的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)中的报文数，利用关联函数k_l(x,a)，分别计算被攻击的可能性，然后进行加权计算，进行入侵识别；

（3）入侵预警：根据所述的节点关系元Q(t)中的容量和内容相似度，利用关联函数k_l(x,a)，分别计算受感染的可能性，然后进行加权计算，进行入侵预警；

（4）入侵防御：根据入侵识别和受攻击可能性，用所述的防御事元I(t)，启动防御措施。

本发明用包括相关数据的各种基元对问题进行抽象；通过对物元的可拓处理，扩大已知条件，降低问题求解的矛盾性；确定具有公共左端点，且最优点在左端点的关联函数为问题域的关联函数；用此关联函数进行多特征融合的攻击识别、攻击预警；并针对蠕虫，给出了防御步骤。

附图说明

下面结合附图和实施例对本发明作进一步说明。

图1是可拓求解过程示意图。

图2是具有公共左端点且最优点在左端点关联函数图。

具体实施方式

一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：

（1）预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；

（2）对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；

（3）建立问题合适的关联函数，进行结点状态的可拓识别和防御。以蠕虫的检测、预警与防御为测试对象，在一个局域网内进行。

2、构造下列基元

（1）报文物元R（t），用于记载网络数据包。

R(t)={报文,C,V(t)}

C={时间，协议类型，源IP，源端口，目标IP,目标端口，

包容量，传输标志，包内容}

V（t)=C(R），是C的值

具体为：

（式1）

其中v_i(t)表示各参数随时间变化的函数。

（2）防御事元I(t)，表示对感染点采取的防御措施。

I=(D,C,V},D=“防御措施标识”

C={施动对象，支配对象，时间，地点，程序，方式，工具}

V(t)=C(t)，是C的值

具体为：

（式2）

其中，P(i)为防御程序标识；Src_Prot(t)为t时刻的端口号；D(i)为防御紧急状态等级数；M(i)为采取措施的方式，自动或手动等;T(i)防御中所需工具软件。

（3）节点关系元Q(t)，表示节点之间的相似关系。

Q(t)={A,C,V},A=“连通”

C={前项，后项，程度，容量，内容，联系通道，联系方式}

V(t)=C(Q)，是C的值

具体如下：

（式3）

v_i(t)表示各参数随时间变化的值，v₃(t)、v₄(t)值在0～1之间，分别反映两节点包容量和内容之间的相似度。

（4）预警混合元Inf(t),告知检测到的攻击。

Inf(t)={N,C,V},N=“通知”

C={攻击名，原因，端口，发布时间，负载标志，尺寸，内容，防御} （式4）

V=C(Inf)，是C的值

其中，“原因”是关于攻击所利用的漏洞描述的物元，设为H=(N，c，v)，N={漏洞名}，c={依托软件，危害，…}，v=c(H)。防御为防御事元。

3、进行下列可拓变换处理：

（1）R(t)-|R_R(t)、R_T(t)。根据物元的可扩缩性，把物元报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)。

1）接收报文物元如下：

R_R(t)={接收报文,C_{R_R},V_{R_R}}

C_{R_R}={时间，源IP，源端口，目标端口，包容量，类型，标志} （式5）

V_{R_R}=C_{R_R}(R_R),是C_{R_R}的值

2）发送报文物元如下：

R_T(t)={发送报文,C_{R_T},V_{R_T}}

C_{R_T}={时间，目标端口，目标IP，源端口，包容量，类型，标志} （式6）

V_{R_T}=C_{R_T}(R_R),是C_{R_T}的值

（2）R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)。根据物元的可组合性，由接收报文物元R_R(t)和发送报文物元R_T(t)，得到某一时间间隔△t内接收收到报文的物元R_R_T(t)和传出报文物元R_T_T(t)。

1）某一时间间隔△t内收到报文的物元R_R_T(t)如下：

R_R_T(t)={Δt接收报文,C_{R_R_T},V_{R_R_T}}

C_{R_R_T}={类型，时间段，源IP，源端口，端口，报文数} （式7）

V_{R_R_T}=C_{R_R_T}(R_R_T)

2）某一时间间隔△t内发送报文的物元R_T_T(t)如下：

R_T_T(t)={Δt发送报文,C_{R_T_T},V_{R_T_T}}

C_{R_T_T}={类型，时间段，目标IP，目标端口，源端口，报文数} （式8）

V_{R_T_T}=C_{R_T_T(}R_T_T)

（3）R_R_T(t)-|R_R_T_C(t)、R_T_T(t)-|R_T_T_C(t)。根据物元的可分解性，由R_R_T(t)、R_T_T(t)得到关于端口、协议等条件分类的接收报文统计物元R_R_T_C(t)和传送报文的分类统计物元R_T_T_C(t)。

1）分类的接收报文物元R_R_T(t)如下：

（式9）

2）分类的发送报文物元R_T_T_C(t)如下。

（式10）

4、入侵的可拓识别和防御：

（1）通过下列步骤得到的关联函数：

1）用于入侵识别问题自变量域（a，b）的关联函数，是具有公共端点且最优点在a处的关联函数k_l(x，a)；

2）最优点时，基于左侧距的区间套位值为

（式11）

特别地当最优点发生在X₀的左端点a处，位值为：

（式12）

其中，ρ_l（x,x₀,X₀）为左侧距，计算如下：

（式13）

特别是当x₀=a时，

（式14）

其中，

3）具有左公共端点且最优点在a处的关联函数，记为：k_l(x,a)为：

（式15）

由2）ρ_l（x,x₀,X₀），得：最优点在公共端点的a处，基于左侧距的关联函数k(a,x)为：

（式16）

（2）通过可拓处理得到的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)的报文数，利用关联函数，分别进行入侵识别，然后加权求和。具体如下：

Step1:根据发送的报文，判定节点异常可能性p1。

设：△t时间内可能的发送报文数为：<0,40>，当发出的报文数<0,5>时为正常值，当x=m时，计算利用关函数，计算结果如表1所示。受到攻击的可能性为p₁=-k(x)。

表1 k(x)计算举例

m	0	2	5	10	20	30	40
								k(x)	1	0.085	0	-0.714	-0.429	-0.7143	-1

Step2:根据收到的异常报文，判定节点异常可能性p₂

同理，可根据△t收到的异常报文数n，判定节点被感染的可能性。

Step3:通过加权综合考虑上述两个因素得到

p=α₁p₁+α₂p₂其中α₁，α₂为权值

考虑到防火墙的存在，许多异常报文会有去无回使得后者实际收到的报文数小于实际数，设两者对结论的贡献分别为0.7，0.3，则，p=0.7p₁+0.3p₂

例：p₁=0.714，p₂=0.3，则p=0.59，表示由发送报文和接收报文异常，得到的关于该节点是否感染蠕虫的可能性。

（3）入侵预警，由已知感染点判别其它点是否感染。根据节点关系元Q(t)，利用关联函数，计算受攻击可能性，进行入侵预警。具体步骤如下：

Step1：根据容量比r₁，判定感染可能性。

容量比的可能取值范围为在<0，1>，设正常范围<0,0.85>，若超过0.85，就有发生质变的可能。问题转变为：X₀=<0,0.85>，X=<0,1>，当x为r₁时，该节点被感染的可能性p₁是多少？计算方法同上。

Step2：根据内容相似率r₂，判定感染可能性。

内容相似的可能取值范围为<0,1>，设正常范围<0，0.5>，若超过0.5，就有发生质变的可能。问题转变为：X₀=<0,0.5>，X=<0,1>，当x为r₂时，该节点被感染的可能性p₂是多少？计算方法同Step1。

Step3：通过加权综合考虑上述两个因素,p=α₁p₁+α₂p₂，其中α₁，α₂为权值。

考虑到内容相近，更能说明两报文的相似性，设两者对结论的贡献分别为0.2和0.8，则，p=0.2p₁+0.8p₂。例：p1=0.8，p2=0.6，p=0.64，表示当检测点的报文大小与内容与一感染点的容量和内容之比分别为0.8和0.6时，该节点被感染的可能性为64%。

（4）入侵防御。根据入侵识别和受攻击可能性，用权利要求1的防御事元I(t)，启动防御措施。策略如下：

Case1：同一广播域，主动防御。即，当监测到某个点被感染，对与其在同一广播域中的各点立刻无条件地采取防御措施。

Case2：非同一广播域，根据路由表，进行防御，具体步骤如下：

Step1：感染点建立感染告知基元，如(式4)所示。

Step2：根据路由信息表，对于所有与告知物元节点有连接关系的节点((式3)所示)，进行漏洞检查。

2.1如果存有漏洞，按防御事元进行防御，并由物元的可拓性生成感染标志；如果没有，作检查标志；

2.2如果该路由的各端口均有标志(感染or检查)，则标志该路由，表示搜索过。

重复Step1、Step2，如果在某一时间段，没有新标志生成，则结束搜索。

Claims (1)

1.一种网络入侵检测与防御的可拓求解方法，其特征是：包括下列步骤：

(1)预处理通过收集到的数据报文和网络拓扑信息，得到构造基元的数据，然后构造基元；

(2)对基元进行可拓变换，扩大已知条件，减少问题的矛盾性；

(3)建立问题合适的关联函数，进行结点状态的可拓识别和防御；

以蠕虫的检测、预警与防御为测试对象，在一个局域网内进行；

所述基元如下：

(1)报文物元R(t)，用于记载网络数据包；

R(t)＝{报文,C,V_i(t)}

C＝{时间，协议类型，源IP，源端口，目标IP，目标端口，包容量，传输标志，包内容}

V_i(t)＝C(R),是C的值；其中R即物元R(t)，C是“报文”的属性集，含多个属性；V_i(t)是“报文”物元R(t)属性集C中各属性的值；

具体为：

其中v_i(t)表示各参数随时间变化的函数；

(2)防御事元I(t)，表示对感染点采取的防御措施；

I(t)＝{D,C,V(t)}

C＝{施动对象，支配对象，时间，地点，程度，方式，工具}

V(t)＝C(I),是C的值

其中，D为某防御措施标识，也是防御事元名称；C是防御措施D的属性集；含多个属性；V(t)是防御措施为D的防御事元I(t)属性集C中各属性的值；I也就是防御事元I(t)；

具体为：

其中，P(t)为防御程序标识；S(t)为t时刻运行的服务程序标识；Src_Prot(t)为t时刻的端口号；D(t)为防御紧急状态等级数；M(t)为采取措施的方式，自动或手动等；T(t)防御中所需工具软件；t表示是时间的函数；程度、方式、工具都有多个；

(3)节点关系元Q(t)，表示节点之间的相似关系；

Q(t)＝{A,C,V_i(t)}

C＝{前项，后项，容量，内容，联系通道，联系方式}

V_i(t)＝C(Q),是C的值

其中：Q即关系元Q(t)；A是节点关系元的名称；C是A关系的属性集，含多个属性；V_i(t)是关系为A的节点关系元Q(t)属性集C中各属性的值；

具体如下：

v_i(t)表示各参数随时间变化的值，v₃(t)、v₄(t)值在0～1之间，分别反映两节点包容量和内容之间的相似度；

(4)预警混合元Inf(t),告知检测到的攻击；

Inf(t)＝{N,C,V(t)},N＝“通知”

C＝{攻击名，原因，端口，发布时间，负载标志，尺寸，内容，防御} (式4)

V(t)＝C(Inf)，是C的值

其中，Inf即预警混合元Inf(t)，“原因”是关于攻击所利用的漏洞描述的物元，设为H＝(N，c，v)，N＝{漏洞名}，c＝{依托软件，危害，…}，v＝c(H)，N为漏洞名，c是与N漏洞的属性集，v是名为N的漏洞物元H的属性集c中各属性值；防御为防御事元；V(t)是名为“通知”的预警混合元Inf的“通知”属性集C中各属性的值；“通知”是预警单元的名称；C是“通知”预警的属性集，含多个属性；

所述可拓变换步骤如下：

(1)R(t)-|R_R(t)、R_T(t)；根据物元的可扩缩性，把物元报文R(t)可拓处理为接收报文物元R_R(t)和发送报文物元R_T(t)；

1)接收报文物元如下：

其中：R_R，即：接收报文物元R_R(t)；

2)发送报文物元如下：

R_T(t)＝{发送报元，C_{R_T}，V_{R_T}(t)}

C_{R_T}＝{时间，目标端口，目标IP，源端口，包容量，类型，标志}

V_{R_T}＝C_{R_T}(R_T)是C_{R_T}的值 (式6)

其中：R_T，即：发送报文物元R_T(t)；

(2)R_R(t)-|R_R_T(t)、R_T(t)-|R_T_T(t)；根据物元的可组合性，由接收报文物元R_R(t)和发送报文物元R_T(t)，得到某一时间间隔△t内接收报文的物元R_R_T(t)和发送报文物元R_T_T(t)；

1)某一时间间隔△t内接收报文的物元R_R_T(t)如下：

其中：R_R_T，即：某一时间间隔△t内接收报文的物元R_R_T (t)；

2)某一时间间隔△t内发送报文的物元R_T_T(t)如下：

其中：R_T_T，即：某一时间间隔△t内发送报文的物元R_T_T (t)；

(3)R_R_T(t)-|R_R_T_{_}C(t)、R_T_T(t)-|R_T_T_C(t)；根据物元的可分解性，由R_R_T(t)、R_T_T(t)得到关于端口、协议等条件分类的接收报文统计物元R_R_T_C(t)和发送报文的分类统计物元R_T_T_C(t)；

1)分类的接收报文物元R_R_T_C(t)如下：

2)分类的发送报文物元R_T_T_C(t)如下；

所述进行结点状态的可拓识别和防御，包括下列步骤：

(1)通过下列步骤得到的关联函数：

1)用于入侵识别问题自变量域x安全域X₀取值范围为(a，b)的关联函数，具有公共端点且最优点在a处的关联函数为k_l(x，a)；

2)最优点时，基于左侧距的区间套位值为

其中D_l为基于左侧距的区间套位值；ρ为区间距；ρ_l为左侧距；x为一个自变量值；x₀为最优点取值；X₀为取值在a,b之间的一个区间；X为包含x₀的一个区间；

D_l(x,x₀,X₀,X)为x关于最优点发生在x₀处区间X₀和X组成的区间位值；ρ_l(x,x₀,X)为x与区间X关于x₀的左侧距；ρ_l(x,x₀,X₀)为x与区间X₀关于x₀的左侧距；

ρ(x,x₀,X)为最优点在x₀时x距区间X的距离；ρ(x,x₀,X₀)为最优点在x₀时x距区间X₀的距离；

特别地当最优点发生在X₀的左端点a处，位值为：

其中，ρ_l(x,x₀,X₀)为左侧距，计算如下：

特别是当x₀＝a时，

其中，

3)具有公共端点且最优点在a处的关联函数，记为：k_l(x,a)为：

由2)ρ_l(x,x₀,X₀)，得：最优点在公共端点的a处，基于左侧距的关联函数k(x,a)为：

其中的d为区间X＝(a,d)的右边界；

(2)通过可拓处理得到的某一时间间隔△t内分类的接收报文物元R_R_T_C(t)和分类的发送报文物元R_T_T_C(t)的报文数，利用关联函数，分别进行入侵识别，然后加权求和；具体如下：

Step 1:根据发送的报文，判定节点异常可能性p₁；

设：△t时间内可能的发送报文数为：X＝<0,40>，当发出的报文数X₀＝<0,5>时为正常值，当x＝m时，利用关联函数式16所示，其中a＝0,b＝5,d＝40，计算受到攻击的可能性为：

p₁＝-k(x,0)，其中，k(x,0)为：

$k(x,0)=\left\{\begin{array}{cc}-(5-m)/(0-40),& x\&Element;(0,5)\\ -(5-m)/(5-40),& x\&Element;\&lsqb;b,+\mathrm{\&infin;})\\ 1& x=0\end{array}\right.$

关联函数计算示例如下：

m 0 2 5 10 20 30 40 k(x,0) 1 0.075 0 ‐0.143 ‐0.429 ‐0.714 ‐1

Step 2:根据收到的异常报文，判定节点异常可能性p₂

同理，可根据△t收到的异常报文数n，判定节点被感染的可能性；

Step 3:通过加权综合考虑上述“根据发送的报文，判定节点异常可能性p₁”和“根据收到的异常报文，判定节点异常可能性p₂”两个因素得到：

p＝α₁p₁+α₂p₂其中α₁，α₂为权值

考虑到防火墙的存在，许多异常报文会有去无回使得收到的有效报文数小于实际到达数，设两者对结论的贡献分别为0.7，0.3，则，p＝0.7p₁+0.3p₂

(3)入侵预警，由已知感染点判别其它点是否感染；根据节点关系元Q(t)，利用关联函数，计算受攻击可能性，进行入侵预警；具体步骤如下：

Step 1：根据容量比r₁，判定感染可能性；

容量比的可能取值范围为在X＝<0，1>，设正常范围X₀＝<0,0.85>，若超过0.85，就有发生质变的可能；当容量比为r₁时，利用式16所示关联函数，其中a＝0,b＝0.85,d＝1，计算受到攻击的可能性为：

$g_1=-k(x,0)=\left\{\begin{array}{cc}(0.85-r_1)/(0-1),& x\&Element;(0,0.85)\\ (0.85-r_1)/(0.85-1),& x\&Element;\&lsqb;0.85,+\mathrm{\&infin;})\\ -1& x=a\end{array}\right.$

Step 2：根据内容相似率r₂，判定感染可能性；

内容相似的可能取值范围为<0,1>，设正常范围<0，0.5>，若超过0.5，就有发生质变的可能.当内容相似率为r₂时，利用式16所示关联函数，其中a＝0,b＝0.5,d＝1，计算该结点受感染的可能性为：

$g_2=-k(x,0)=\left\{\begin{array}{cc}(0.5-r_2)/(0-1),& x\&Element;(0,0.85)\\ (0.5-r_2)/(0.5-1),& x\&Element;\&lsqb;0.85,+\mathrm{\&infin;})\\ -1& x=0\end{array}\right.$

Step 3：通过加权综合考虑上述该节点被感染的可能性g₁及该节点被感染的可能性g₂两个因素,g＝β₁g₁+β₂g₂，其中β₁，β₂为权值；

考虑到内容相近，更能说明两报文的相似性，设两者对结论的贡献分别为0.2和0.8，则，g＝0.2g₁+0.8g₂；

(4)入侵防御：根据入侵识别和受攻击可能性，用防御事元I(t)，启动防御措施；策略如下：

Case 1：同一广播域，主动防御；即，当监测到某个点被感染，对与其在同一广播域中的各点立刻无条件地采取防御措施；

Case 2：非同一广播域，根据路由表，进行防御，具体步骤如下：

Step 1：感染点建立告知基元，如式4所示；

Step 2：根据路由信息表，对于所有与告知基元节点有连接关系的式3所示的节点，进行漏洞检查；

2.1 如果存有漏洞，按防御事元进行防御，并由物元的可拓性生成感染标志；如果没有，作检查标志；

2.2 如果一个路由的各端口均有感染或检查的标志，则标志该路由，表示搜索过；

重复上述Case 2的Step 1、Step 2，如果在某一时间段，没有新标志生成，则结束搜索。