一種基于數(shù)據(jù)融合的ＩＤＳ方法研究

摘要：分析了當(dāng)前IDS（intrusion detection system）的缺陷，討論了數(shù)據(jù)融合技術(shù)應(yīng)用在IDS領(lǐng)域的可行性，提出了一種基于數(shù)據(jù)融合（data fusion）的IDS（DFIDS）模型，融合決策采用算術(shù)平均值的方法，以達(dá)到降低漏報(bào)率和虛警率的目的，模擬實(shí)驗(yàn)證實(shí)了這一點(diǎn)。基于數(shù)據(jù)融合的入侵檢測方法是IDS發(fā)展的一個(gè)重要方向。

關(guān)鍵詞：IDS； 數(shù)據(jù)融合； 融合決策； 漏報(bào)率； 虛警率

中圖分類號：TN915文獻(xiàn)標(biāo)志碼：A

文章編號：1001－3695(2008)06－1786－03

網(wǎng)絡(luò)攻擊手段復(fù)雜、方法多樣，致使入侵檢測系統(tǒng)檢測分析攻擊行為時(shí)面臨較多的困難，表現(xiàn)出來的結(jié)果就是誤報(bào)率和漏報(bào)率較高，這也是當(dāng)前IDS產(chǎn)品面臨的突出問題[1]。傳統(tǒng)的IDS系統(tǒng)幾乎都采用特定的搜索引擎和有一定規(guī)則的規(guī)則庫，如Snort、Bro等。從數(shù)據(jù)的獲取方面來看，具有一定的單一性和片面性，或者說異種性質(zhì)的觀測器過于單一，這是誤報(bào)率和漏報(bào)率較高的原因。

數(shù)據(jù)融合是一種多層次、多方面的處理過程，這個(gè)過程是對多源數(shù)據(jù)進(jìn)行檢測、結(jié)合、相關(guān)、估計(jì)和組合以達(dá)到精確的狀態(tài)估計(jì)和身份估計(jì)，以及完整、及時(shí)的態(tài)勢評估（cyberspace situational assessment）和威脅估計(jì)（threat assessment）[2，3]。

將數(shù)據(jù)融合技術(shù)應(yīng)用在IDS領(lǐng)域，融合中心（fusion center）可以把來自多個(gè)不同性質(zhì)的觀測器（傳感器 sensor）對同一個(gè)入侵行為的數(shù)據(jù)描述進(jìn)行聯(lián)合、相關(guān)、估計(jì)，進(jìn)行較為客觀的融合決策。這里的觀測器可以是描述網(wǎng)絡(luò)安全的各種探測器，如各種IDS系統(tǒng)、漏洞掃描器甚至防火墻等。這樣的入侵檢測系統(tǒng)就可以有效地克服傳統(tǒng)IDS的單一性和片面性，從而降低漏報(bào)率和虛警率。

1DFIDS數(shù)據(jù)融合機(jī)理

1．1融合系統(tǒng)的功能模塊

本文提出的融合系統(tǒng)其功能模塊主要包括以下幾個(gè)部分：

a)觀測器管理。這個(gè)模塊的功能是對各觀測器的任務(wù)進(jìn)行分配，對工作模式進(jìn)行確定，觀測區(qū)域的安排及工作順序的控制等進(jìn)行協(xié)調(diào)管理。

b)數(shù)據(jù)管理。將多個(gè)觀測器輸出統(tǒng)一到一個(gè)公共的時(shí)空參考系中，并將同一層次的各類信息數(shù)據(jù)轉(zhuǎn)換為同一種表示形式，在這里進(jìn)行數(shù)據(jù)格式配置，時(shí)空坐標(biāo)配準(zhǔn)，并對表示同一目標(biāo)的數(shù)據(jù)進(jìn)行關(guān)聯(lián)。

c)信息優(yōu)化管理。采用統(tǒng)計(jì)技術(shù)，對已有的數(shù)據(jù)、信息進(jìn)行關(guān)聯(lián)，并進(jìn)而采用適當(dāng)?shù)乃惴ㄟM(jìn)行最優(yōu)化的評判、推理、識別和決策[4]。

1．2融合系統(tǒng)結(jié)構(gòu)

多觀測器融合系統(tǒng)結(jié)構(gòu)通常分為四種，即集中式融合系統(tǒng)、無反饋的分布式融合系統(tǒng)(圖1)、有反饋的分布式融合系統(tǒng)和有反饋的全并行融合系統(tǒng)。

圖1為無反饋分布式融合系統(tǒng)，此種系統(tǒng)中每個(gè)觀測器將觀測到的數(shù)據(jù)自行判定，進(jìn)行局部數(shù)據(jù)融合，最后一起送到融合中心作出綜合的決策，即全局決策。在這種系統(tǒng)中通信開銷量小，融合中心計(jì)算機(jī)所需存儲量小，融合速度快。本文選取此種類型的融合系統(tǒng)(圖2)。

4結(jié)束語

討論了入侵檢測系統(tǒng)的現(xiàn)狀，針對其缺陷提出了基于數(shù)據(jù)融合的入侵檢測模型－DFIDS。實(shí)驗(yàn)數(shù)據(jù)表明，DFIDS的漏報(bào)率和虛警率均有所改善。基于數(shù)據(jù)融合的入侵檢測技術(shù)是入侵檢測技術(shù)發(fā)展的一個(gè)重要方向。但應(yīng)當(dāng)注意的是，本文在最終融合決策時(shí)，將多個(gè)決策因素等同地考慮，取它們的算術(shù)平均值作為最終融合決策的參考值，這可能與實(shí)際情況有點(diǎn)出入，若將影響融合決策的若干因素進(jìn)行加權(quán)處理，加權(quán)系數(shù)隨著實(shí)際情況的變化而變化，這樣處理就更接近實(shí)際情況了，這些工作有待繼續(xù)研究。

參考文獻(xiàn)：

[1]GAVRILIS D， DERMATAS E. Real－time detection of distributed denial－of－service attacks using RBF networks and statistical features[J]. Computer Networks and ISDN System， 2005，48(2): 235－245.

[2]SINOPOLI B，SHARP C，SCHENATO L.Distributed control applications within sensor networks[C] //Proc of IEEE. 2003: 1235－1246.

[3]VA IDEH IV， KALAV IDYA K，GANDH I SI. Cluster－based centra－lized data fusion for tracking maneuvering targets using interacting multiple model algorithm [J]. Sadhana， 2004， 29(4): 205－216.

[4]JOSHUA WH， LEE MR， RICHARD P L， et al. Extending the DARPA off－line intrusion detection evaluations[C] //DARPA Information Survivability Conference Exposition Ⅱ. 2001:35－45.

[5]孫即祥. 現(xiàn)代模式識別[M].長沙：國防科技大學(xué)出版社，2003.

[6]王威，周軍紅，王潤生.多傳感器數(shù)據(jù)融合的一種方法[J].傳感器技術(shù)，2003，22(9)：39－40.

[7]楊萬海.多傳感器數(shù)據(jù)融合及其應(yīng)用[M].西安：西安電子科技大學(xué)出版社，2004.

[8]韓仲祥，史浩山.一種分布式入侵檢測系統(tǒng)的實(shí)現(xiàn)研究[J].空軍工程大學(xué)學(xué)報(bào)，2004，5(5)：85－88.

注：本文中所涉及到的圖表、注解、公式等內(nèi)容請以PDF格式閱讀原文