淺談數據融合技術在入侵檢測系統中的作用

祝亞楠

(鞍山市交通運輸學校，遼寧鞍山114075)

淺談數據融合技術在入侵檢測系統中的作用

祝亞楠

(鞍山市交通運輸學校，遼寧鞍山114075)

分布式網絡入侵檢測系統，需要從網絡終端的各個代理上采集、融合數據，以便對網絡空間的全局數據流經情況做以掌握，從而對照規則庫，進行特征匹配，成功檢測、阻止各種利用網絡進行的協同攻擊。數據融合技術是網絡入侵檢測系統中的不可或缺的基礎組成部分，而且會伴隨著網絡入侵檢測產品的日益普及，更顯其重要性。本文從數據融合的定義及工作流程入手，簡單陳述了數據融合技術在入侵檢測系統中的作用。

多源數據；數據融合；入侵檢測

一、數據融合的定義及工作流程

數據融合技術最早用于軍事。1973年美國研究機構開始了對數據融合的研究，最先研究的內容是用于軍事用途的聲吶信號解釋系統。從那以后，特別是自海灣戰爭以來，從事數據融合領域研究的人員越來越多，數據融合技術得到了長足的發展，并在軍事領域和非軍事領域廣泛應用。

Edward Waltz和James Llinas在他們的有關論文中，綜合了以往多人對數據融合的應用研究，并加上了自己獨自的見解，明確提出了數據融合的概念：數據融合[1]是一種多層次的、多方面的處理過程，這個過程是對多源數據進行檢測、結合、相關、估計和組合以達到精確的狀態估計和身份估計，以及完整、及時的態勢評估和威脅估計。

美國國防部JDL專門成立了數據融合技術專家組，提出了一個在防御系統中通用的數據融合處理模型，給出了數據融合的多層功能處理的觀點。其工作流程原理由八個過程模塊組成：采集數據源，多種數據過濾預處理，一級處理，二級處理，三級處理，四級處理，數據庫管理層，人機交互的用戶操作界面，即控制臺?，F就工作流程中各部件功能做以簡述：

數據源:提供數據融合系統的輸入，可能的數據源包括各類傳感器、人工輸入和數據庫的信息。

零層預處理：包括初始信號處理及對數據作適當處理，使得融合系統能集中處理針對當前場景的數據，減少融合系統的負載。

第一級處理：提取對象。即融合傳感器的信息以得到一個目標項的精練表示，主要指目標的位置和身份估計。一般包括四個功能:數據校準、關聯、跟蹤(位置融合)、識別(屬性融合)。

第二級處理：態勢評估。即給出一個基于各個目標間關系的前后相關的描述，以判定一組個體的意義。它包括目標聚類、事件和行為的解釋、以及最終的前后相關的解釋。

第三級處理：威脅評估。也就是對二級處理顯示的態勢進行深層次分析，考慮這種態勢未來將對系統造成的影響。根據它的破壞嚴重性，衡量系統的抗攻擊性，從而做出準確的威脅估計。

第四級處理：提升性能。它是一種超級處理，其目的是優化融合系統的總體性能，主要功能包括性能評估、過程控制、需求決策、戰斗任務管理等。這一層的處理更偏向管理方面，比如可以根據融合結果對多傳感器進行調節等。

數據庫管理層：主要提供對數據融合數據庫的訪問和管理，它是數據融合處理最需要的支持功能之一，包括數據檢索、存儲、歸檔、壓縮、關系查詢和數據保護。

控制臺：即人機交互的用戶操作界面，允許人工輸入數據進行數據融合處理，同時也作為數據融合系統與系統操作員的通信和交互的途徑。

二、數據融合技術在入侵檢測系統中的作用

數學家Wald曾對數據融合作用給予了精僻地概括。他說數據融合只是一個抽象的概念，它將有形用于無形，實質上是借助于某種方法，將多個數據源數據用某種形式加以組合，提煉。通過這個形式化的結合，達到減輕處理數據的負載，提取精確的信息的目的。具體精確的程度取決于融合的數據以及應用的方向。

現在本文在Wald總結的這個有關數據融合的作用的基礎上，結合校園網入侵檢測系統，對數據融合的作用具體應用如下：

數據融合就是利用遍布校園網絡中的多個代理，如HIDS，NIDS等，獲取多種不同的信息源數據，然后按照聚類分析等智能方法將其組合、提煉，從而獲得高質量的簡約的數據。通過數據融合，可以對入侵對象，攻擊意圖，網絡抗攻擊狀況等進行準確地評估和響應。

本文將數據融合技術增添到入侵檢測中，在處理數據跟蹤，提高檢測率，降低誤報率，增強系統可靠性等方面都發揮了極大的作用。具體體現在如下二個方面：

1、增強了系統的可靠性。由于有多個代理分布在入侵檢測體系結構的各個節點處，即使有個別代理不能正常工作或攻擊行為不在其監控區域，總會有一個其它的代理處于其中，可以執行其功能，向上一級父節點或同一級節點的代理傳送信息，保證了系統不受影響，能夠實時的監控網絡空間，削弱了單點故障的損失，提高了檢測率。

2、拓寬了系統工作范圍。由于多個代理的分布，可能造成疊加，重復監測的區域，使一些代理可以檢測到其它代理檢測不到的區域，或者可能由多個代理同時監測同一個范圍內的對象或事件。這些都在一定程度上拓寬了系統在空間和時間上的工作范圍，進而降低了對攻擊的不確定性和誤報率，提高了系統的檢測能力，增強了檢測的有效性。

總之，數據融合是以網絡中的多個代理為硬件基礎，以多源數據為處理目標，以綜合處理為核心的框架結構，是入侵檢測的基礎核心技術。

[1]Peter Bladon,Richard J.Hall and W.Andy Wright.Situation Assessment UsingGraphical Models. ISIF2002,pp886-893.

（編輯 焦玉剛）

A Simple Analysis of The Function of Multi-Source Data Fusion Technology in Intrusion Detection System

ZHUYanan
(Anshan transportation school，Anshan 114075，China)

A distributed network intrusion detection system,need to collect data,integration of the terminal from every agency network,so that the global data on the network space through the situation to master,and the contrast the rule base to go on feature matching,attack detection,to prevent all kinds of attacks using network.Data fusion technology is a network intrusion detection system,which is indispensable in the basic part,and will be shown its importance with the increasing popularity of the network intrusion detection products.This paper starts with the definition and the working process of data fusion,makinga simple statement ofthe data fusion technologyin intrusion detection system.

multi-source data;date fusion；IDS

G712

B

1672-0601（2015）05-0095-02

祝亞楠（1973-），女，研究生，講師職稱。主要研究方向：多源數據融合的設計與實現。