一種基于多傳感器數(shù)據(jù)融合的入侵檢測技術

摘要：多傳感器數(shù)據(jù)融合是一個多級多側面的加工過程，是一種新型的網(wǎng)絡入侵檢測機制，本文通過構造數(shù)學模型，設置影響網(wǎng)絡檢測的有效參數(shù)，通過不同檢測方法進行了實驗驗證和性能分析，該數(shù)據(jù)融合技術能較大程度提高入侵檢測系統(tǒng)的有效性和準確性，作為一種入侵檢測技術具有較強的實用價值。

關鍵詞：數(shù)據(jù)融合；多參數(shù)；漏報率；準確性

中圖分類號：TP311.52 文獻標識碼：A 文章編號：1007—9599 （2012） 14—0000—02

一、引言

多傳感器的數(shù)據(jù)融合入侵檢測系統(tǒng)（Intrusion Detection Systems）簡稱IDS，最早出現(xiàn)在20世紀70年代軍事領域，現(xiàn)在已經(jīng)成功應有于諸多民用方面。其中的數(shù)據(jù)融合技術，是指對多個數(shù)據(jù)源的信息檢測、評估、匯總處理的全方位的加工過程[6]。在未來的IDS發(fā)展趨勢就是通過各種傳感器獲取融合數(shù)據(jù)，形成對網(wǎng)絡系統(tǒng)的合理評估。

二、多傳感器數(shù)據(jù)融合系統(tǒng)模型框架

（一）數(shù)據(jù)融合系統(tǒng)模型框架分類

從整體上來說，一個數(shù)據(jù)融合系統(tǒng)主要由傳感器、管理模塊、融合優(yōu)化模塊、數(shù)據(jù)傳輸?shù)饶K構成。按照傳感器構成方式可以分為集中式、分布式兩種方式。

1.集中式結構圖1就是獲得各個傳感器的數(shù)據(jù)并集中到數(shù)據(jù)融合中心，由數(shù)據(jù)處理中心完成各種數(shù)據(jù)處理，最終通過數(shù)據(jù)傳輸通道輸出最終決策。

2.分布式結構，由于數(shù)據(jù)融合檢測檢測中心（Date Fusion Intrusion Detection Mechanism）采用的并行分布融合系統(tǒng)以下簡稱DFIDM，。由于在串行鏈路中發(fā)生故障時會導致整個系統(tǒng)癱瘓，故串行結構應用場合比較少，因此多采用分布式結構如圖2。

（二）DFIDM系統(tǒng)的功能

首先通過遍布系統(tǒng)各處的分布式傳感器（Distributing Sensors）以下簡稱DS獲取原始數(shù)據(jù)，原始數(shù)據(jù)經(jīng)過校準過濾后填寫標準的原始數(shù)據(jù)記錄庫，并形成相關對象，在時間（或空間）上相關聯(lián)，配對、分類，形成一個基于對象的集合，利用融合決策算法，對狀態(tài)進行提取以形成對入侵行為的威脅評估（TA），根據(jù)威脅評估進行最終決策，DFIDM各功能模塊如圖3所示。

三、DFIDM算法數(shù)學模型

（一）數(shù)學模型設計

如果多種入侵行為同時入侵多個設備，可將其擴展為多目標多傳感器多元融合系統(tǒng)。硬件設計和函數(shù)關聯(lián)的方法是一致的。

（二）數(shù)據(jù)融合的基本步驟

數(shù)據(jù)融合的最終決策結果表示為各影響因素的函數(shù)。由于無論對函數(shù)f的準確性怎樣進行優(yōu)化，其它外界因素實際上對決策結果施加的影響大小，都難以被準確數(shù)值的反映出來。因此DFIDM的最終決策結果以定性分析為主，定量計算為輔。

1.定量公式計算

設最終決策為一維數(shù)組 表示，其分量 表示對第j種入侵行為的決策值，將所有因素等同考慮，則可得：

2.可靠性系數(shù)的調(diào)整

DFIDM維護一個基于各檢測器可靠性系數(shù)為 ，一般地， 為第i個檢測器對第j種入侵行為的可靠性系數(shù)，并根據(jù)系統(tǒng)實際性能不斷對其進行調(diào)整。融合過程的檢測器可靠性系數(shù)值記為 ，從系統(tǒng)角度來看，考慮到各檢測器的可靠性本身具有相同的權值，n表示從各個檢測器獲得數(shù)據(jù)權值個數(shù)。簡化起見，DFIDM將函數(shù)設定為算術平均和公式（5）。

3.處理與響應辦法

在得到最終融合可靠性系數(shù) 后， 是一個關于 的函數(shù)，系統(tǒng)還需要提供閾值A和判決結果函數(shù) 。

當系統(tǒng)具有低、中、高響應辦法時，閾值A和判決函數(shù)f（）的方式表1如下所示：

四、DFIDM準確性與性能優(yōu)化實驗結果分析

（一）實驗準備

實驗環(huán)境為1個融合中心FC（網(wǎng)絡服務器內(nèi)存容量至少1G），5個終端設備（PC奔騰系列），攻擊數(shù)據(jù)由1臺PC奔騰配置提供。

（二）評價指標漏報率計算方法

（三）漏報率的比較實驗

五、結論

通過對單目標和多目標的情況進行理論分析，結合數(shù)據(jù)融合技術中的分布式多傳感器系統(tǒng)，構造數(shù)學模型，通過確鑿的實驗數(shù)據(jù)，提出了一種新型基于多傳感器數(shù)據(jù)融合的網(wǎng)絡入侵檢測機制DFIDM。

參考文獻：

[1]Bass， T.， Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems， 1999 IRIS National Symposium on Sensor and Data Fusion， May 1999.

[2]Bass， T.， Cyberspace Situational Awareness Demands Mimic Traditional Command Requirements， Signal Magazine， AFCEA， February 2000.

[3]Nils J.Nilsson， Artificial Intelligence： A New Synthesis， Morgan Kaufmann Publishers，Inc.，1998.

[4]Angeline P， Using selection to improve particle swarm optimization[A].Proceedings of IJCNN'' 99[C].Washington， USA .1999：84—89.

[5]Cristoph F.Eick and Nikhil N Mehta， Decision making involving imperfect knowledge， IEEE Transactions on Systems， Man， and Cybernetics， Vol.23， No.3， May/June 1993.

[6]楊鵬，羅光春，盧顯良.一種基于多參數(shù)的IDS決策過程[J].電子科技大學學報，2006，5（35）803—810.