1. 网络入侵检测系统
    网络入侵检测系统负责向评测机制提供输入，是入侵检测与预警系统的重要组成部分。它收集整理来自扫描监视器的攻击信息，并把关于攻击类型、等级等内容汇合传递给系统的下一层。由于分布式网络的复杂性，要求对不同的网络环境采用不同的入侵检测方法和技术手段，因此，各检测部件可以选用不同的检测方法，协同合作，完成检测任务。
    研究的数据是由专家系统提供，是通过利用各种入侵检测分析方法对所引发的风险进行定质、定量分析后给出的数据。
    2. 威胁评测系统
    威胁评测系统是安全分析人员的核心决策支持工具。它由专家系统和能让操作者提问的智能融合系统组成。智能融合系统使用层次化规则集合来组织问题的答案，它的规则集允许它有效地挖掘长期知识库：威胁数据库。
    威胁评测系统可以回答三类问题。这三类问题按复杂度递增的顺序排列为：来自X的威胁是什么（威胁评测）？一次攻击正在进行吗（预警）？攻击者下一步可能做什么（行动路线）？
    威胁评测所能解决的问题如图3所示。它能对由授权代理发起的网络攻击的威胁级别产生定量的指示。智能融合系统将利用威胁数据库量化来自每个角色的风险因子。由于专家系统合并了能改变威胁指数的所有的引发因素，所以这些威胁指数将是动态的，来适应现实输入数据的变化。威胁评测系统的根本目的是获得网络攻击的模式，并将之与事先已准备好的攻击模板相匹配。例如，攻击特征将与网络攻击的方法数据库相关联来识别攻击的类型和性质，与目标数据库相关联来决定攻击的操作等级。这些知识还将与动机和能力数据库相匹配来帮助识别攻击者、他们的意图和可能采取的行动。
    入侵检测与预警系统的注意力将从威胁评测转移到攻击预警，以及预测敌人的行动路线上。为了发展预警系统和预测敌方的行动，智能融合系统和威胁数据库将与相应的情报和弱点评测模板相关联。模式匹配技术将用于实时攻击事件、预测的攻击事件与嵌入到威胁数据库中的行为模式进行关联。 
   
     四、系统模型研究
    分布式入侵检测与预警系统模型的建立，是评测攻击的威胁程度、攻击的本质、范围和起源，同时预测敌方可能的行动的基础。图4中给出了预警系统三级知识库模型，三级知识库分别为短期、中期和长期的说明性知识库。短期知识库代表了信息基础设施之中及其周围的异常活动的检测报告。中期知识库代表对发展势态的评测，其内容在异常事件被攻击检测系统检测出来、通过威胁评测系统过滤，再以威胁评测、预警或预测敌方行动路线的形式提交给网络安全分析人员。长期知识库由大量汇合的与信息战威胁相关的数据组成，它由当前各领域权威的专家和形势分析部门给出。
    预警模型的核心是威胁评测系统，它作为决策支持工具，目的是对由敌方或授权代理引起的网络攻击威胁的级别产生定量的指示。智能融合系统使用层次化规则集合来组织问题答案，利用威胁数据库量化来自每个角色的风险因子。
    目前我国在开展网络入侵检测与预警系统的研究方面还处在起步阶段，今后的主要研究方向包括：预警系统模型及威胁评测模型的研究、建立威胁数据库的方法与技术以及对不同攻击风险因子的正确量化。

(责任编辑：adminadmin2008)