文档介绍::..Petri网在入侵检测中的应用计算机应用 :三元组N=(S,T;F)称为网的充分必要条件是:(l)SUT二0⑵SUTH0⑶FSXTUTXS(“X”为笛卡儿积)(4)dom(F)Ucod(F)二SUT其中dom(F)={x|y:(x,y)WF},cod(F)={y|x:(x,y)WF},分别称为F的定义域和值域。S和T分别称为N的库所(place)集和变迁(transition)集,F为流关系(flowrclation)o定义中⑴要求N至少含一个元索,(2)要求库所和变迁是不同元索,(4)这意味着N中不能有孤立元素。定义2:记INo={0,1,2,……}IN={1,2,3,……),并以表示无穷。(1)K:从S到INU{w)的映射,称为N的容量函数。(2)M:从S到的映射,如果对给定的容罐函数K,对于任意sGS:M(s)WK(s),则称M为N的一个标识。(3)w:从F到IN的映射,称为N上的权函数,对于(x,y)eF,W(x,y)称为(x,y)上的权。定义3:六元组==(S,T;F,K,W,Mo)构成网系统的条件是:(1)N=(S,T;F)构成网,称为工的基网(2)K,W,Mo依次为N上的容量函数、权函数和标识。称为二的初始标识。定义4:设==(S,T;F,K,W,MJ为网系统,则任一•变迁t在M有发生权的条件是:对于t的任一前驱s,M(s)>W(s,t),并且对于t的任一后继s,M(s)+w(t,s)WK(s)。,可以用Petri网来描述网络事件,而不是入侵。发生在网络上的网络事件多种多样,悄况复杂,因此需要冇一种简单冇效的方法來描述网络事件,利用Petri网可以实现这一目的。川Petri网來描述网络事件的基本思想是:川库所表示网络事件中的某一状态,用变迁表示某一特定的事件,当某一特定的事件出现吋,变迁被激活,拖肯从当前变迁的前驱库所流动到后继库所,即网络事件中的当前状态改变,变化到下一个状态。例如我们需要监控rlogin连接,「login连接是对特定端口的一个TCP连接,需要在源S和目的D之间进行三次握手,实际上网络入侵中的很多重要事件都是通过TCP连接來生成的。可以用Petri网來表示这一时间的牛成过程,如图1所示开始状态 络柬状济5YNSVN-ACKACK图一用petri网表示tcp的连接过程在图1中,首先S向D发送一个会话连接建立请求(SYN)数据包,D受:到该数据包后,向S发牛会话连接建立应答(SYN+ACK)数据包,最后S再向D发送会话连接建立应答(ACK)数据包,这样,一个TCP连接就建立了,于是,通过Petri网描述出了连接建立事件。将变迁的功能进行扩充,就可以描述更为复朵的网络事件,具体的扩充方法为:(1)采用时钟变最CLK来表示与时间相关的事件,即当某一事件发生后,如果在另一事件出现前其时间间隔达到一定的阈值,则该时钟变量被置位,相当于该事件的变迁被激活。(2)可以用0来表示变迁,即该变迁不需要任何事件来触发,只要该变迁的前驱库所中含有token,变迁就可以发生,使得token流入该变迁的示继库所。经过这样的扩充示,就可