徐 寧，黃 雙，秦元慶，周純杰

(華中科技大學(xué)控制科學(xué)與工程系，湖北武漢430074)

責(zé)任編輯:許 盈

工業(yè)智能相機(jī)是工業(yè)視覺(jué)監(jiān)控系統(tǒng)中的重要組成部分，不僅要完成現(xiàn)場(chǎng)視頻采集、分析功能，還要完成網(wǎng)絡(luò)數(shù)據(jù)傳輸及系統(tǒng)控制功能。隨著Internet的引入，不僅會(huì)面臨網(wǎng)絡(luò)安全問(wèn)題[1]，同時(shí)會(huì)面臨視頻安全問(wèn)題[2]。而這些安全威脅會(huì)對(duì)工業(yè)生產(chǎn)造成重大隱患，因此工業(yè)智能相機(jī)信息安全問(wèn)題的有效解決具有重要意義。

目前國(guó)內(nèi)外學(xué)者對(duì)工業(yè)智能相機(jī)中的信息安全問(wèn)題已經(jīng)做了一些研究工作。文獻(xiàn)[3]提出了層次化網(wǎng)絡(luò)信息安全措施;文獻(xiàn)[4]提出在視頻信息中加入視頻水印保護(hù)措施;文獻(xiàn)[5]提出了基于IPv6的入侵檢測(cè)模型。這些技術(shù)能夠在一定程度上緩解工業(yè)智能相機(jī)中網(wǎng)絡(luò)或者視頻信息安全問(wèn)題，然而同時(shí)解決網(wǎng)絡(luò)及視頻信息安全，又要考慮工業(yè)實(shí)時(shí)性要求研究工作的比較少。

針對(duì)工業(yè)智能攝像機(jī)中存在的信息安全問(wèn)題，結(jié)合DM6467T達(dá)芬奇視頻處理平臺(tái)的雙核架構(gòu)特性，設(shè)計(jì)了一種層次化的安全策略，并在DM6467T處理平臺(tái)實(shí)現(xiàn)了該種策略，進(jìn)行相關(guān)測(cè)試工作。

1 工業(yè)智能相機(jī)的應(yīng)用系統(tǒng)結(jié)構(gòu)及信息安全問(wèn)題

1.1 工業(yè)智能相機(jī)的典型應(yīng)用系統(tǒng)結(jié)構(gòu)

工業(yè)智能相機(jī)典型應(yīng)用系統(tǒng)結(jié)構(gòu)如圖1所示，分為信息管理層、過(guò)程控制層及現(xiàn)場(chǎng)設(shè)備層。現(xiàn)場(chǎng)設(shè)備層通過(guò)工業(yè)以太網(wǎng)進(jìn)行連接，主要根據(jù)控制層執(zhí)行相關(guān)操作;過(guò)程控制層中主要有工業(yè)智能相機(jī)、視頻服務(wù)器及網(wǎng)絡(luò)連接設(shè)備，負(fù)責(zé)系統(tǒng)控制;信息管理層主要完成系統(tǒng)信息管理、查詢(xún)等任務(wù)。

圖1 工業(yè)智能相機(jī)典型應(yīng)用系統(tǒng)結(jié)構(gòu)

1.2 工業(yè)智能相機(jī)信息安全問(wèn)題分析

面向工業(yè)控制的智能相機(jī)，不僅要求系統(tǒng)內(nèi)部安全、可靠地對(duì)生產(chǎn)制造過(guò)程實(shí)施監(jiān)測(cè)和控制，同時(shí)要求系統(tǒng)免受外界的惡意攻擊，保證信息的機(jī)密性和完整性。其面臨的諸如非法入侵、關(guān)鍵數(shù)據(jù)竊取、視頻數(shù)據(jù)的偽造、惡意病毒軟件等方面的威脅越來(lái)越嚴(yán)峻。構(gòu)成這些威脅的原因有[1，4]:1)工業(yè)智能攝像機(jī)終端被操縱控制，拒絕工作站訪問(wèn)，關(guān)鍵控制參數(shù)被修改;2)工業(yè)智能攝像機(jī)在以太網(wǎng)中的數(shù)據(jù)信息被竊取、篡改、偽造;3)視覺(jué)監(jiān)控系統(tǒng)中的原始視頻信息被不正當(dāng)復(fù)制、篡改等。

2 基于DM6467T的工業(yè)智能相機(jī)的信息安全策略設(shè)計(jì)

面向工業(yè)應(yīng)用的智能相機(jī)的信息安全策略設(shè)計(jì)，一方面需要確保底層現(xiàn)場(chǎng)設(shè)備的閉環(huán)穩(wěn)定性、實(shí)時(shí)性，另一方面需要系統(tǒng)免受外界的惡意攻擊，保證信息的機(jī)密性和完整性。結(jié)合DM6467T智能攝像機(jī)平臺(tái)的雙核架構(gòu)特性，本文提出了一種層次化的安全檢測(cè)防護(hù)策略，內(nèi)層采用基于特征的誤用檢測(cè)方式，對(duì)已知入侵進(jìn)行快速檢測(cè)，快速響應(yīng)入侵，滿足工業(yè)實(shí)時(shí)性需求;外層采用基于性能評(píng)估的異常檢測(cè)方式，通過(guò)綜合分析系統(tǒng)整體性能，對(duì)未知入侵進(jìn)行評(píng)估，調(diào)取相應(yīng)防護(hù)措施，保證視覺(jué)控制系統(tǒng)的安全運(yùn)行。

其安全防護(hù)框圖如圖2所示，主要包括網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾、安全檢測(cè)及安全響應(yīng)模塊。網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾模塊采用IP地址白名單的形式，丟棄掉不允許IP地址范圍內(nèi)的網(wǎng)絡(luò)數(shù)據(jù)，減輕后級(jí)入侵檢測(cè)負(fù)擔(dān)，達(dá)到網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾目的。

圖2 工業(yè)智能相機(jī)安全防護(hù)框圖

安全檢測(cè)模塊分為內(nèi)外兩層結(jié)構(gòu)，內(nèi)層對(duì)過(guò)濾之后的數(shù)據(jù)包(諸如連接狀態(tài)、源地址、目的地址、協(xié)議類(lèi)型等)進(jìn)行特征值的提取，通過(guò)將提取的特征規(guī)則和已知入侵特征規(guī)則庫(kù)進(jìn)行匹配，若匹配則為已知類(lèi)型入侵，生成相對(duì)應(yīng)的安全策略。針對(duì)未能匹配可疑數(shù)據(jù)，移交外層處理。同時(shí)外層對(duì)網(wǎng)絡(luò)數(shù)據(jù)流量、CPU利用率、視頻流碼率等系統(tǒng)性能指標(biāo)進(jìn)行檢測(cè)和評(píng)估，若超過(guò)一定的閾值，則認(rèn)為系統(tǒng)異常，采取諸如對(duì)系統(tǒng)內(nèi)部關(guān)鍵變量隔離、備份操作或進(jìn)行視頻水印加密操作，保證整個(gè)監(jiān)控系統(tǒng)的安全運(yùn)行。

安全響應(yīng)模塊主要根據(jù)安全檢測(cè)模塊生成的策略，完成任務(wù)策略執(zhí)行處理，同時(shí)對(duì)安全事件進(jìn)行報(bào)警和日志記錄工作。

3 基于DM6467T的工業(yè)智能相機(jī)信息安全策略實(shí)現(xiàn)

3.1 基于DM6467T的工業(yè)智能相機(jī)平臺(tái)結(jié)構(gòu)

本文采用基于TM320DM6467T的嵌入式智能攝像機(jī)平臺(tái)，其中DM6467T為T(mén)I公司最新推出的一款達(dá)芬奇技術(shù)數(shù)字媒體處理器，它集成了ARM和DSP內(nèi)核、2個(gè)高清視頻協(xié)處理器(HD-VICP)、視頻數(shù)據(jù)轉(zhuǎn)換引擎，最高主頻可達(dá)1 GHz。

基于DM6467T的智能攝像機(jī)的軟件結(jié)構(gòu)如圖3所示，主要包括ARM端Linux系統(tǒng)和DSP端DSP/BIOS系統(tǒng)。設(shè)置ARM核為主控制處理器，其主要完成設(shè)備驅(qū)動(dòng)、視頻采集、網(wǎng)絡(luò)傳輸、安全防護(hù)及控制協(xié)調(diào)任務(wù);DSP核為從處理器，主要完成H.264編解碼算法、智能分析算法及視頻水印算法的運(yùn)行，并將運(yùn)算結(jié)果返還給ARM端。

圖3 基于DM6467T的智能相機(jī)軟件結(jié)構(gòu)圖

3.2 基于白名單的網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾

考慮到視覺(jué)控制系統(tǒng)中數(shù)據(jù)的傳輸量相對(duì)一般工業(yè)網(wǎng)絡(luò)控制系統(tǒng)較大，然而具有訪問(wèn)智能相機(jī)權(quán)限的網(wǎng)絡(luò)IP地址比較固定，如果能夠在第一時(shí)間阻斷入侵，減少數(shù)據(jù)傳輸，系統(tǒng)的實(shí)時(shí)性將會(huì)得到提高，所以采用IP白名單的網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾將會(huì)非常簡(jiǎn)潔有效。IP地址白名單是當(dāng)網(wǎng)絡(luò)訪問(wèn)時(shí)，只有“白名單”中規(guī)定的IP地址才可訪問(wèn)智能相機(jī)。

其中網(wǎng)絡(luò)數(shù)據(jù)包的采集采用Linux操作系統(tǒng)中移植性較好的Libpcap網(wǎng)絡(luò)數(shù)據(jù)捕獲函數(shù)包進(jìn)行網(wǎng)絡(luò)包捕獲，基于IP白名單網(wǎng)絡(luò)數(shù)據(jù)過(guò)濾流程如圖4所示，其執(zhí)行流程為:首先進(jìn)行網(wǎng)絡(luò)數(shù)據(jù)的采集，對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行解析，讀取數(shù)據(jù)包中IP源地址，進(jìn)行白名單查詢(xún)，若地址在白名單中，則將數(shù)據(jù)傳送到內(nèi)層進(jìn)行進(jìn)一步處理，否則，丟棄數(shù)據(jù)。

圖4 網(wǎng)絡(luò)數(shù)據(jù)采集流程圖

3.3 層次化入侵檢測(cè)實(shí)現(xiàn)

考慮到DM6467T的ARM和DSP雙核架構(gòu)，為充分利用系統(tǒng)資源，該系統(tǒng)采取了層次化的入侵檢測(cè)方案，內(nèi)層入侵檢測(cè)采用基于Codec算法封裝[7]的方法(運(yùn)行在DSP端)實(shí)現(xiàn)對(duì)已知入侵的快速檢測(cè)及防護(hù)處理;外層采用基于Core Engine機(jī)制[7]的監(jiān)測(cè)方式(運(yùn)行在ARM端)，對(duì)未知入侵進(jìn)行系統(tǒng)性能評(píng)估，采取相應(yīng)防護(hù)策略，兩層協(xié)同同步進(jìn)行，盡可能提高檢測(cè)速度及實(shí)時(shí)性能，從而滿足工業(yè)實(shí)時(shí)性的需求，確保系統(tǒng)的安全可靠運(yùn)行。

3.3.1 基于Codec Engine的內(nèi)層安全機(jī)制

內(nèi)層安全機(jī)制采用基于特征模型的誤用檢測(cè)機(jī)制，對(duì)網(wǎng)絡(luò)數(shù)據(jù)包進(jìn)行解碼和分析，提取特征規(guī)則，識(shí)別入侵類(lèi)型并采取相應(yīng)防護(hù)策略。系統(tǒng)中采用現(xiàn)行公認(rèn)、實(shí)用的網(wǎng)絡(luò)安全審計(jì)數(shù)據(jù)集KDDCUP99[8]的10%數(shù)據(jù)集作為訓(xùn)練數(shù)據(jù)集及測(cè)試數(shù)據(jù)集，按照網(wǎng)絡(luò)連接的基本特征、網(wǎng)絡(luò)連接的基于內(nèi)容的特征及2 s時(shí)間單元的流量特征對(duì)攻擊數(shù)據(jù)進(jìn)行特征的分類(lèi)，同時(shí)對(duì)其中41類(lèi)特征進(jìn)行簡(jiǎn)化處理，去掉諸如Service、FTP等系統(tǒng)用不到的入侵特征，然后對(duì)特征進(jìn)行編碼，進(jìn)行改進(jìn)的基于QPSO(Quantum Partical Swarm Optimization)的入侵特征規(guī)則[9]提取，最終完成特征庫(kù)的建立，限于篇幅，這里不對(duì)改進(jìn)的QPSO算法進(jìn)行詳盡敘述。

考慮到工業(yè)實(shí)時(shí)性需求，為了加快檢測(cè)速度、提高檢測(cè)準(zhǔn)確性，從以下兩個(gè)方面進(jìn)行性能的改善:1)充分利用DM6467T的雙核Codec Engine架構(gòu)，進(jìn)行Codec算法封裝和配置，實(shí)現(xiàn)ARM端Linux操作系統(tǒng)運(yùn)行，DSP端網(wǎng)絡(luò)數(shù)據(jù)包分析及匹配算法的運(yùn)行，提高運(yùn)行效率;2)采用改進(jìn)型Boyer Moore Horspoo(BMH)算法[10]對(duì)特征規(guī)則進(jìn)行匹配。

Codec算法封裝是DM6467T達(dá)芬奇平臺(tái)中基于Codec Engine的一種算法封裝機(jī)制，按照XDAIS算法標(biāo)準(zhǔn)，通過(guò)系統(tǒng)文件配置，可以實(shí)現(xiàn)算法在ARM端或DSP端運(yùn)行。系統(tǒng)中基于Codec機(jī)制的算法結(jié)構(gòu)體聲明如下所示，其中IALG_Fxns結(jié)構(gòu)體是系統(tǒng)定義標(biāo)準(zhǔn)算法接口，主要完成接口參數(shù)初始化及內(nèi)存分配;指針函數(shù)process/control分別完成匹配算法的處理和運(yùn)行控制操作。

針對(duì)檢測(cè)出的已知入侵，生成相應(yīng)諸如修改端口號(hào)、丟棄數(shù)據(jù)包、斷開(kāi)連接等安全措施，其內(nèi)層入侵檢測(cè)處理流程如圖5所示。

圖5 內(nèi)層入侵檢測(cè)流程圖

3.3.2 基于Core Engine的外層安全機(jī)制

外層安全機(jī)制主要針對(duì)內(nèi)層未能檢測(cè)出來(lái)的入侵，采取基于性能評(píng)估的異常檢測(cè)機(jī)制。首先選取能反映系統(tǒng)運(yùn)行狀態(tài)的性能監(jiān)測(cè)指標(biāo)，對(duì)這些指標(biāo)進(jìn)行統(tǒng)計(jì)，設(shè)定閾值，如果超過(guò)該閾值，則認(rèn)為有入侵行為發(fā)生，采取諸如即時(shí)EASM硬件加密、H.264編碼視頻水印[6]等策略，這里面的策略非內(nèi)層針對(duì)已知入侵，從系統(tǒng)層面進(jìn)行評(píng)估分析，防御入侵，其執(zhí)行流程如圖6所示。

圖6 外層入侵檢測(cè)流程

在基于DM6467T的工業(yè)智能相機(jī)中，其CPU的利用率、視頻流碼率、網(wǎng)絡(luò)流量及執(zhí)行周期等是系統(tǒng)運(yùn)行性能的重要特征，正常工作時(shí)這些性能指標(biāo)也比較穩(wěn)定。考慮到工業(yè)實(shí)時(shí)性需要，將算法配到DSP端、ARM端進(jìn)行Linux操作系統(tǒng)及監(jiān)測(cè)任務(wù)的運(yùn)行，通過(guò)調(diào)用Core Engine的監(jiān)測(cè)機(jī)制對(duì)性能指標(biāo)進(jìn)行實(shí)時(shí)監(jiān)測(cè)，同時(shí)添加網(wǎng)絡(luò)流量統(tǒng)計(jì)、視頻流碼率及日志記錄任務(wù)完善性能指標(biāo)的監(jiān)測(cè)，監(jiān)測(cè)相關(guān)API函數(shù)如表1所示。

表1 Core Engine主要監(jiān)測(cè)API

3.4 安全響應(yīng)處理

安全響應(yīng)模塊是安全防護(hù)中必不可少的環(huán)節(jié)，其主要根據(jù)內(nèi)、外層生成的防護(hù)策略，執(zhí)行相應(yīng)的任務(wù)，進(jìn)行入侵報(bào)警、日志記錄等操作。

對(duì)于內(nèi)層快速檢測(cè)防護(hù)，響應(yīng)處理主要是根據(jù)檢測(cè)到的已知入侵類(lèi)型采取相對(duì)應(yīng)的處理。如當(dāng)受到Land特征類(lèi)型攻擊時(shí)，通過(guò)檢查數(shù)據(jù)包中IP字段，阻塞訪問(wèn);當(dāng)受到諸如網(wǎng)絡(luò)監(jiān)聽(tīng)類(lèi)型的攻擊，對(duì)機(jī)密敏感數(shù)據(jù)進(jìn)行加密、修改網(wǎng)絡(luò)端口;當(dāng)受到諸如非法取得root權(quán)限攻擊，則禁止用戶、斷開(kāi)連接。

對(duì)于外層未知入侵檢測(cè)，則通過(guò)對(duì)系統(tǒng)整體性能指標(biāo)安全評(píng)估，采取安全點(diǎn)恢復(fù)、關(guān)鍵數(shù)據(jù)備份等。如當(dāng)發(fā)現(xiàn)有數(shù)據(jù)竊取行為時(shí)，啟動(dòng)硬件EASM加密模塊對(duì)存儲(chǔ)數(shù)據(jù)進(jìn)行加密處理;當(dāng)發(fā)現(xiàn)視頻數(shù)據(jù)被篡改時(shí)，啟動(dòng)基于H.264編解碼的視頻水印任務(wù)對(duì)視頻數(shù)據(jù)進(jìn)行保護(hù)，保證系統(tǒng)在受到攻擊時(shí)，能夠安全運(yùn)行。

4 實(shí)驗(yàn)及結(jié)果分析

4.1 實(shí)驗(yàn)平臺(tái)與測(cè)試方案

為了驗(yàn)證工業(yè)智能相機(jī)安全策略的有效性，搭建實(shí)際試驗(yàn)平臺(tái)，如圖7所示。DM6467T開(kāi)發(fā)平臺(tái)(圖7中3)連接模擬攝像機(jī)(圖7中1)，采集模擬視頻，處理完成之后，將控制命令傳遞給設(shè)備層設(shè)備DSP2812開(kāi)發(fā)板(圖7中4)，同時(shí)將視頻信息實(shí)時(shí)顯示到顯示器(圖7中2)上。集線器(圖7中6)由網(wǎng)線將PC機(jī)(圖7中5)、DM6467T開(kāi)發(fā)平臺(tái)及DSP2812連接起來(lái)。PC機(jī)一方面完成模擬網(wǎng)絡(luò)攻擊，另一方面進(jìn)行視頻數(shù)據(jù)的存儲(chǔ)任務(wù)。測(cè)試內(nèi)容主要包括內(nèi)層已知入侵檢測(cè)和外層未知入侵檢測(cè)處理這兩部分。針對(duì)內(nèi)層測(cè)試，采用3.3節(jié)中提到的KDDCUP99的10%數(shù)據(jù)集作為測(cè)試數(shù)據(jù)，在PC機(jī)上用嗅探器sniffer軟件發(fā)包進(jìn)行模擬。對(duì)于外層測(cè)試，則通過(guò)將模擬攝像機(jī)場(chǎng)景更改為簡(jiǎn)單背景，減小視頻流碼率模擬，這種入侵方式，內(nèi)層檢測(cè)不出來(lái)，但是可以通過(guò)CPU利用率的減小、視頻流碼率的減小等評(píng)估出有入侵行為，進(jìn)而采取視頻水印加密處理任務(wù)。

圖7 基于DM6467T的智能相機(jī)測(cè)試平臺(tái)

4.2 實(shí)驗(yàn)結(jié)果及分析

內(nèi)層安全機(jī)制的測(cè)試中，主要通過(guò)檢出率和誤檢率兩個(gè)指標(biāo)來(lái)評(píng)價(jià)，檢出率指檢測(cè)到的入侵?jǐn)?shù)目與總的入侵?jǐn)?shù)目之比，誤檢率指被誤判為入侵的正常數(shù)目與總的正常數(shù)目之比，最終測(cè)試效果如圖8所示。

圖8 內(nèi)層入侵檢測(cè)結(jié)果

其中Probe和DoS類(lèi)型攻擊的檢出率可以達(dá)到80%左右，誤檢率在10%左右;U2R和R2L這兩種類(lèi)型攻擊檢出率在65%左右，誤檢率在20%左右。分析主要是因?yàn)樵谔卣饕?guī)則的設(shè)計(jì)中Probe和DoS類(lèi)型攻擊特征比較多，同時(shí)網(wǎng)絡(luò)數(shù)據(jù)白名單過(guò)濾掉了部分這類(lèi)攻擊，然而U2R和R2L這兩種類(lèi)型攻擊特征規(guī)則比較薄弱，攻擊特性不明顯，所以效果相對(duì)較差。

實(shí)驗(yàn)中通過(guò)將攝像機(jī)的場(chǎng)景更換為純白色，則其相應(yīng)的一幀數(shù)據(jù)的像素變少，視頻流碼率明顯減小，內(nèi)層無(wú)法檢測(cè)出此種攻擊，然而外層可以檢測(cè)出來(lái)，采取基于H.264編碼的視頻水印進(jìn)行視頻加密，同時(shí)對(duì)加密之后的視頻進(jìn)行解碼顯示觀察，如圖9b所示，經(jīng)過(guò)視頻水印加密的視頻經(jīng)過(guò)解密之后能夠正常顯示;未經(jīng)加密的視頻經(jīng)過(guò)解密之后顯示為黑屏如圖9b所示。

圖9 外層視頻水印檢測(cè)處理結(jié)果

5 總結(jié)

本文根據(jù)工業(yè)智能相機(jī)應(yīng)用場(chǎng)景，結(jié)合DM6467T雙核架構(gòu)特性，針對(duì)智能相機(jī)網(wǎng)絡(luò)及視頻安全威脅，同時(shí)考慮到工業(yè)實(shí)時(shí)性需求，設(shè)計(jì)了一種層次化的安全防護(hù)策略。然后在DM6467T視頻處理平臺(tái)上實(shí)現(xiàn)該種安全防護(hù)策略，并進(jìn)行相關(guān)測(cè)試。實(shí)驗(yàn)結(jié)果表明，該方案能夠在滿足工業(yè)實(shí)時(shí)性要求的情況下，有效地防止網(wǎng)絡(luò)及視頻安全攻擊，同時(shí)對(duì)嵌入式工業(yè)智能相機(jī)安全防護(hù)設(shè)計(jì)有一定的參考價(jià)值。

[1]王玉敏.工業(yè)控制系統(tǒng)的常見(jiàn)攻擊[J].中國(guó)儀器儀表，2012(3):60-65.

[2]江城，張重陽(yáng)，余松煜.基于異常檢測(cè)與雙流編碼的視頻監(jiān)控系統(tǒng)設(shè)計(jì)[J].電視技術(shù)，2011，35(1):111-114.

[3]沈艷，方湘艷，韓威，等.基于四層過(guò)濾的網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)模型[J].計(jì)算機(jī)與數(shù)字工程，2011，39(6):86-89.

[4]施鵬飛，趙立初.數(shù)字水印技術(shù)的研究[J].信息與控制，2000，29(1):40-45.

[5]林惠君，張思東，張宏科.基于IPv6的入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn)[J].電視技術(shù)，2005，29(10):64-66.

[6]羅智蘭.一種基于H.264標(biāo)準(zhǔn)的視頻水印方案[D].南京:南京郵電大學(xué)，2008.

[7]Texas Instruments Incorporated.Codec engine application developer user's guide[EB/OL].[2012-06-06].http://www.ti.com.cn/cn/lit/ug/sprue67d/sprue67d.pdf.

[8]張新有，曾華燊，賈磊.入侵檢測(cè)數(shù)據(jù)集KDD CUP99研究[J].計(jì)算機(jī)工程與設(shè)計(jì)，2010，31(22):4809-4812.

[9]趙昌.基于粒子群優(yōu)化的入侵檢測(cè)規(guī)則提取方法研究[D].合肥:中國(guó)科學(xué)技術(shù)大學(xué)，2009.

[10]劉勝飛，張?jiān)迫?一種改進(jìn)的BMH模式匹配算法[J].計(jì)算機(jī)科學(xué)，2008，35(11):164-165.