第2期 王辉，等：一种可变模糊匹配阴性选择算法 ·181· 输人检测器集C及个数n 初始化r、bldf 入 设置循环变量1、k 取当前检测器C与Q匹配测试 C[与所行Ck都匹配 IN 设置lxsd、bld的初值 C成熟，加入 到有效检测器 计算C[i与C[k]的lxsd、bld 集D中 N Bld<=bldf &lxsd>=r/len(C[i]) Y 删掉C) 每个Q都进行了测试 结束 图2有效检测器算法流程图 Fig.2 The flow chart of the effective detector 匹配操作在可变模糊匹配阴性选择算法中，是一 的概率设为P,则有 个关键操作：生成检测器集时，匹配用于判断检测器是 Pw=(1++1)2-(l-7)21= 否成熟；实施检测操作时，匹配用于识别异常模 式0”.由于自我集具有一定的相似性，因而基于自我 2+ (3) 集产生的成熟检测器之间可能存在匹配的现象检测 式中：l为字符串的长度 器之间互相匹配，使得它们检测空间基本相同，等同于 设产生一个成熟检测器的概率为P,即一个随 一个检测器的作用，因而检测效率大大降低由于冗余 机串经可变模糊匹配阴性选择算法后成为成熟检测 的检测器并不能增加检测器集的整体覆盖空间，因而 器的概率.则P.应满足 要去掉冗余，提高效率有效检测器集生成算法正是基 PR=(1-PM)+P(1-P2)+ 于此思想设计的，算法消除了检测器之间的匹配现象， PMnP(1+Pa)+·+ 使系统的空间覆盖率达到最大， PPMn…PMc-)(1-Pwc）= 3仿真分析 1-PwP2PB…PMc-)PMc 从式(3)中可以看出，通过可变模糊匹配阴性 算法仿真时采用randerr(1200,32,[0:32])函 选择算法产生个成熟检测器的概率比普通阴性选 数随机生成1200个二进制串作为自我集N,字符串 择算法要高.这是因为可变模糊匹配阴性选择算法 长度L=32,并仿真分析了采用可变模糊匹配阴性 有多个可调的匹配阈值，从而使一个随机串成为检 选择算法后检测器数目、检测率及黑洞数目的变化 测器的概率提高. 情况.其中Nm为待检测的检测器数目，NR为由算法 下面分析不同匹配阈值的检测器分布概率 生成的检测器数目，P为2个随机串互相匹配的概 在匹配阈值为：时，对于某一未成熟检测器不 率，f为随机串不与N匹配的概率，P为漏报率，P, 与自我集匹配的概率为 为检测率. f=(1-P)% 3.1成熟检测器生成的概率分析 成为匹配阈值：的成熟检测器的概率为 在连续：位匹配规则下2个随机串互相匹配 P:=(1-f)(1-f)…(1-f-)f