一种基于多传感器数据融合入侵检测技术.docVIP

一种基于多传感器数据融合入侵检测技术摘要：多传感器数据融合是一个多级多侧面的加工过程，是一种新型的网络入侵检测机制，本文通过构造数学模型，设置影响网络检测的有效参数，通过不同检测方法进行了实验验证和性能分析，该数据融合技术能较大程度提高入侵检测系统的有效性和准确性，作为一种入侵检测技术具有较强的实用价值。 关键词：数据融合；多参数；漏报率；准确性 中图分类号：TP311.52 文献标识码：A 文章编号：1007—9599 （2012） 14—0000—02 一、引言 多传感器的数据融合入侵检测系统（Intrusion Detection Systems）简称IDS，最早出现在20世纪70年代军事领域，现在已经成功应有于诸多民用方面。其中的数据融合技术，是指对多个数据源的信息检测、评估、汇总处理的全方位的加工过程[6]。在未来的IDS发展趋势就是通过各种传感器获取融合数据，形成对网络系统的合理评估。 二、多传感器数据融合系统模型框架 （一）数据融合系统模型框架分类 从整体上来说，一个数据融合系统主要由传感器、管理模块、融合优化模块、数据传输等模块构成。按照传感器构成方式可以分为集中式、分布式两种方式。 1.集中式结构图1就是获得各个传感器的数据并集中到数据融合中心，由数据处理中心完成各种数据处理，最终通过数据传输通道输出最终决策。 2.分布式结构，由于数据融合检测检测中心（Date Fusion Intrusion Detection Mechanism）采用的并行分布融合系统以下简称DFIDM，。由于在串行链路中发生故障时会导致整个系统瘫痪，故串行结构应用场合比较少，因此多采用分布式结构如图2。 （二）DFIDM系统的功能 首先通过遍布系统各处的分布式传感器（Distributing Sensors）以下简称DS获取原始数据，原始数据经过校准过滤后填写标准的原始数据记录库，并形成相关对象，在时间（或空间）上相关联，配对、分类，形成一个基于对象的集合，利用融合决策算法，对状态进行提取以形成对入侵行为的威胁评估（TA），根据威胁评估进行最终决策，DFIDM各功能模块如图3所示。 三、DFIDM算法数学模型 （一）数学模型设计 如果多种入侵行为同时入侵多个设备，可将其扩展为多目标多传感器多元融合系统。硬件设计和函数关联的方法是一致的。 （二）数据融合的基本步骤 数据融合的最终决策结果表示为各影响因素的函数。由于无论对函数f的准确性怎样进行优化，其它外界因素实际上对决策结果施加的影响大小，都难以被准确数值的反映出来。因此DFIDM的最终决策结果以定性分析为主，定量计算为辅。 1.定量公式计算 设最终决策为一维数组 表示，其分量 表示对第j种入侵行为的决策值，将所有因素等同考虑，则可得： 2.可靠性系数的调整 DFIDM维护一个基于各检测器可靠性系数为 ，一般地， 为第i个检测器对第j种入侵行为的可靠性系数，并根据系统实际性能不断对其进行调整。融合过程的检测器可靠性系数值记为 ，从系统角度来看，考虑到各检测器的可靠性本身具有相同的权值，n表示从各个检测器获得数据权值个数。简化起见，DFIDM将函数设定为算术平均和公式（5）。 3.处理与响应办法 在得到最终融合可靠性系数 后， 是一个关于 的函数，系统还需要提供阈值A和判决结果函数 。 当系统具有低、中、高响应办法时，阈值A和判决函数f（）的方式表1如下所示： 四、DFIDM准确性与性能优化实验结果分析 （一）实验准备 实验环境为1个融合中心FC（网络服务器内存容量至少1G），5个终端设备（PC奔腾系列），攻击数据由1台PC奔腾配置提供。 （二）评价指标漏报率计算方法 （三）漏报率的比较实验 五、结论 通过对单目标和多目标的情况进行理论分析，结合数据融合技术中的分布式多传感器系统，构造数学模型，通过确凿的实验数据，提出了一种新型基于多传感器数据融合的网络入侵检测机制DFIDM。 参考文献： [1]Bass， T.， Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems， 1999 IRIS National Symposium on Sensor and Data Fusion， May 1999. [2]Bass， T.， Cyberspace Situational Awareness Demands Mimic Traditional Command Requirements， Signal Magazine， AFCEA， Februar