摘要

入侵检测描述语言是各种安全防护体系的核心,不仅影响到描述(检测)能力,而且影响执行效率。本文研究分析了国内外几种重要的入侵检测语言,提出了一种支持状态图复用的规则语言CLS。CLS简化了STATL的实现语义,通过组合状态图(实例)来达到同样的表达能力,以减少资源消耗,提高执行效率。CLS还针对网络入侵检测系统的需求,修改了STATL的状态、事件等静态语义元素,限制了其事件队列、代码块的功能,以简化实现。通过分析常见的网络协议层的攻击场景,我们建立了标准CLS扩展库,为用户进一步定制安全需求,提供了基本参考。