美国陆军研究实验室和电子战联合公司的研究人员通过合作，实现了一种新的旨在对抗高级持久威胁的入侵探测体系。该体系是网络攻击特征描述和模拟试验台的一个组成部分，也是一种陆军研究实验室计算机网络防御系统。它通过提供对于新威胁做出迅速而灵活的反应来保护网络以防敌人破坏。2008年启动的计划通过改进美国国防部，授权的防卫承包商，大学和私人公司的情报共享和计算机网络防御策略来对抗日益增长的网络战威胁。

　　美国正面临着日益增强的网络空间武器的威胁。近来国防部涉及国家敌人和非国家敌人的方案评估着重提出了需要改进对抗网络空间威胁的能力。最近的四年一次的国防审核报告中说：“国防网络每天都受到无数次的侵入，侵入源的范围小到个人组织，大到一些世界上最大的国家。”由于这些对于我们的关键基础设施的高度发展的攻击，一个叫做高级持久威胁（APT）的术语出现了。高级持久威胁是指确定的攻击者所发起的长期复杂的攻击，攻击者常常是一些单一民族国家。信息安全专家正在努力跟踪高级持久威胁。

　　网络攻击特征描述和模拟试验台计划的科学家承认现在无法侦查网络入侵。多数部署在安全网络和公众网络中的入侵探测系统都是基于特征的。这些系统在网络通信中基于已知技术检查预先设定的攻击模式。随着敌人的专门技术发生变化，入侵探测系统也必须发展，脱离有限的特征匹配能力的限制。否则，入侵探测系统就无法在现代的战斗中发挥作用。实际上，国防部的网络防卫者是采用昨天的技术参与战斗。网络攻击特征描述和模拟试验台计划由产业部门、学术单位和政府联合执行，参与的单位包括陆军研究实验室,电子战联合公司，西肯塔基州大学，亚利桑那大学，路易斯维尔大学等。他们共同努力，开发了一个称为西米诺尔（Seminole）的混合入侵探测系统，能够几乎实时地探测网络威胁，并表述其特征。西米诺尔是基于Interrogator 2i开发的，后者原来由陆军研究实验室单独开发，用来监控国防部网络。

　　西米诺尔入侵探测系统是一个框架结构，允许重新配置，并迅速增加新的分析工具。它是一种混合式设计，采用了基于特征的探测技术和基于异常通信量的探测方法。在一个采用基于异常通信量的探测方法的系统中，创造性地根据正常的预计通信量和互联网标准运用了一个网络通信量基准。只要探测到偏离了这个基准，就会向分析人员发出警告。

　　西米诺尔探测系统具有独特的异常通信量探测引擎，依赖于分开的收集功能和分析功能。所采用的传感器是被动器件，配置在各安全数据装置中，而各安全数据装置则构成一个网络，将收集的数据传输到中央存储器中。来自诸多传感器的数据到达中央存储器的时候，分析设备就对数据进行处理，把异常的通信量从正常通信中识别出来。

　　分开收集功能和分析功能因为能够收集和处理更多的网络数据而具有战略优势。当前所采用的多数基于异常通信量的入侵探测和分析设备，其捕获和处理数据的速度都很低，难以接受。它们只是捕获网络流信息，而不是捕获数据包的全部内容。网络流信息并不包含数据包中的全部信息，只包含基本的寻址和定时信息。虽然网络流信息也有用，但是不能提供全部信息，限制了入侵探测能力，探测不到复杂攻击。

　　由网络攻击特征描述和模拟试验台研究人员开发的基于异常通信量的分析设备包括了人工智能神经网络分析装置，从最基本的比特层面一直到重新组合流层面检查网络通信量。实际应用证明这些设备是行之有效的。在一个用其监控保护网络的实例中，由于来自友好国家的通信量超出了正常水平，网络攻击特征描述和模拟试验台分析人员就收到了警告信息。分析表明，超常的通信量是更大规模网络攻击的前奏，而友好国家则被他人作为攻击路径加以利用。这种攻击中采用的技术是未知的，与己知的攻击特征都不符合，因此不能用基于特征的设备探测出来。

　　网络攻击特征描述和模拟试验台由肯塔基州Bowling Green的达到最新技术发展水平的BGCNDSP提供，BGCNDSP由具有各种专业的入侵分析人员提供一天24小时的服务，包括协议分析、硬件工程、网络辩论术、事件反应、恶意软件分析和网络开发。

　　当西米诺尔入侵探测系统自动探测异常的通信量并进行基本的事件关联的时候，分析人员则进行长期趋势和回顾分析，以便将来自多个信息源的一些小事件联系起来，构成说明复杂攻击的时间线。

　　克里·朗（Kerry Long）作为陆军研究实验室的一名计算机科学家注意到分析人员是入侵探测体系中的一个关键组成部分。他指出：“自动分析系统或许永远也不会也不应该代替分析人员。更恰当地说，自动分析系统应该是分析人员的补充手段，起到网络部队增效器的作用，使少量分析人员能够起到大量分析人员的作用。西米诺尔入侵探测系统的概念中包含了这种观念，使其从众多网络入侵探测系统中脱颖而出。

　　西米诺尔入侵探测系统处在网络入侵探测的最前沿。由西肯塔基州大学管理的网络防御试验场配置了多种模拟网络，研究人员用以测试当今的网络攻击技术，以便开发新的手段来探测和战胜这些技术。

　　当今美国管理部门感兴趣的主要领域之一是新出现的经过管理控制和数据采集系统对我们的关键基础设施的持续威胁。近来的网络空间政策回顾突出了一种对管理控制和数据采集系统控制的基础设施部件的网络威胁。中央情报局的高级分析人士汤姆?多纳休（Tom Donahue）曾说过：“我们从国外多个地区得到的对美国公用设施进行网络入侵的信息，紧接着就是敲诈要求。信息表明在国外的几个地区，有人采用网络攻击来破坏电力设备。至少有一次破坏引起了电力中断，影响了多个城市。我们不知道是谁进行了这些攻击，也不知道为什么要进行这些攻击，只知道这些攻击都与通过互联网的入侵有关。” 网络攻击特征描述和模拟试验台正在开发和运行新手段和新技术来对抗管理控制和数据采集系统遭遇的威胁。

　　随着研究和装备的进展，网络攻击特征描述和模拟试验台计划的主要目标之一就是拓展网络战情报基地的视野。负责网络攻击特征描述和模拟试验台计划的电子战联合公司的高级科学家菲利普C.旺布尔（Phillip C. Womble）说：“复杂攻击的目的不再是直接破坏国防部网络，网络连接保护正在进一步扩展到私人团体和授权的防御承包商的网络。敌人把这些看作潜在的弱点，并试图利用那些连接来获取他们所寻求的保密信息。”

　　网络攻击特征描述和模拟试验台和国防部通过监控政府团体和非政府团体来扩展网络战场的视野。计算机和服务系统的弱点往往首先在公共网络中得以发现。尽早探测到网络攻击可以为西米诺尔入侵探测系统创造新特征和装备，从而在政府网络系统丢失保密资料之前探测到攻击。同样，来自政府方面的攻击特征可以为公司和防务承包商用来探测系统破坏，阻绝服务攻击和盗取知识产权的行为。通过全面监控，在某一点收集到的情报可以用于增强全面的信息保护。

　　在陆军研究实验室的网络科学部负责战略计划的安东尼?普莱斯利（SAnthony Pressley）说前景越来越好，与工业界以及大学的精英开展合作有助于开发新装备和新方法。

　　现在，西米诺尔入侵探测系统在国防部内部署，网络攻击特征描述和模拟试验台计正在与商业团体，授权的防务承包商和教育机构一起工作，以便到2011年广泛地部署西米诺尔入侵探测系统。