一種基于數據融合的ＩＤＳ方法研究

摘要：分析了當前IDS（intrusion detection system）的缺陷，討論了數據融合技術應用在IDS領域的可行性，提出了一種基于數據融合（data fusion）的IDS（DFIDS）模型，融合決策采用算術平均值的方法，以達到降低漏報率和虛警率的目的，模擬實驗證實了這一點。基于數據融合的入侵檢測方法是IDS發展的一個重要方向。

關鍵詞：IDS； 數據融合； 融合決策； 漏報率； 虛警率

中圖分類號：TN915文獻標志碼：A

文章編號：1001－3695(2008)06－1786－03

網絡攻擊手段復雜、方法多樣，致使入侵檢測系統檢測分析攻擊行為時面臨較多的困難，表現出來的結果就是誤報率和漏報率較高，這也是當前IDS產品面臨的突出問題[1]。傳統的IDS系統幾乎都采用特定的搜索引擎和有一定規則的規則庫，如Snort、Bro等。從數據的獲取方面來看，具有一定的單一性和片面性，或者說異種性質的觀測器過于單一，這是誤報率和漏報率較高的原因。

數據融合是一種多層次、多方面的處理過程，這個過程是對多源數據進行檢測、結合、相關、估計和組合以達到精確的狀態估計和身份估計，以及完整、及時的態勢評估（cyberspace situational assessment）和威脅估計（threat assessment）[2，3]。

將數據融合技術應用在IDS領域，融合中心（fusion center）可以把來自多個不同性質的觀測器（傳感器 sensor）對同一個入侵行為的數據描述進行聯合、相關、估計，進行較為客觀的融合決策。這里的觀測器可以是描述網絡安全的各種探測器，如各種IDS系統、漏洞掃描器甚至防火墻等。這樣的入侵檢測系統就可以有效地克服傳統IDS的單一性和片面性，從而降低漏報率和虛警率。

1DFIDS數據融合機理

1．1融合系統的功能模塊

本文提出的融合系統其功能模塊主要包括以下幾個部分：

a)觀測器管理。這個模塊的功能是對各觀測器的任務進行分配，對工作模式進行確定，觀測區域的安排及工作順序的控制等進行協調管理。

b)數據管理。將多個觀測器輸出統一到一個公共的時空參考系中，并將同一層次的各類信息數據轉換為同一種表示形式，在這里進行數據格式配置，時空坐標配準，并對表示同一目標的數據進行關聯。

c)信息優化管理。采用統計技術，對已有的數據、信息進行關聯，并進而采用適當的算法進行最優化的評判、推理、識別和決策[4]。

1．2融合系統結構

多觀測器融合系統結構通常分為四種，即集中式融合系統、無反饋的分布式融合系統(圖1)、有反饋的分布式融合系統和有反饋的全并行融合系統。

圖1為無反饋分布式融合系統，此種系統中每個觀測器將觀測到的數據自行判定，進行局部數據融合，最后一起送到融合中心作出綜合的決策，即全局決策。在這種系統中通信開銷量小，融合中心計算機所需存儲量小，融合速度快。本文選取此種類型的融合系統(圖2)。

4結束語

討論了入侵檢測系統的現狀，針對其缺陷提出了基于數據融合的入侵檢測模型－DFIDS。實驗數據表明，DFIDS的漏報率和虛警率均有所改善。基于數據融合的入侵檢測技術是入侵檢測技術發展的一個重要方向。但應當注意的是，本文在最終融合決策時，將多個決策因素等同地考慮，取它們的算術平均值作為最終融合決策的參考值，這可能與實際情況有點出入，若將影響融合決策的若干因素進行加權處理，加權系數隨著實際情況的變化而變化，這樣處理就更接近實際情況了，這些工作有待繼續研究。

參考文獻：

[1]GAVRILIS D， DERMATAS E. Real－time detection of distributed denial－of－service attacks using RBF networks and statistical features[J]. Computer Networks and ISDN System， 2005，48(2): 235－245.

[2]SINOPOLI B，SHARP C，SCHENATO L.Distributed control applications within sensor networks[C] //Proc of IEEE. 2003: 1235－1246.

[3]VA IDEH IV， KALAV IDYA K，GANDH I SI. Cluster－based centra－lized data fusion for tracking maneuvering targets using interacting multiple model algorithm [J]. Sadhana， 2004， 29(4): 205－216.

[4]JOSHUA WH， LEE MR， RICHARD P L， et al. Extending the DARPA off－line intrusion detection evaluations[C] //DARPA Information Survivability Conference Exposition Ⅱ. 2001:35－45.

[5]孫即祥. 現代模式識別[M].長沙：國防科技大學出版社，2003.

[6]王威，周軍紅，王潤生.多傳感器數據融合的一種方法[J].傳感器技術，2003，22(9)：39－40.

[7]楊萬海.多傳感器數據融合及其應用[M].西安：西安電子科技大學出版社，2004.

[8]韓仲祥，史浩山.一種分布式入侵檢測系統的實現研究[J].空軍工程大學學報，2004，5(5)：85－88.

注：本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文