[20XX年基于證據(jù)推理算法的入侵檢測系統(tǒng)設(shè)計方案word]入侵檢測系統(tǒng)有哪些

1、最新資料歡迎閱讀 20XX年基于證據(jù)推理算法的入侵檢測系 統(tǒng)設(shè)計方案word入侵檢測系統(tǒng)有哪些 20 xx年基于證據(jù)推理算法的入侵檢測系統(tǒng)設(shè)計方案 數(shù)據(jù)融合算法是入侵檢測系統(tǒng)設(shè)計的核心內(nèi)容，對于“不知道”與” 不確定”信息的處理，證據(jù)推理算法具有十分突出的特點，已成為數(shù) 據(jù)融合算法的熱點。為了避免焦元爆炸問題，該文采用一種可有效減 少證據(jù)合成計算量又可確保合成實時性準(zhǔn)確性數(shù)據(jù)融合算法。為了解 決分布式系統(tǒng)中主控端與各入侵檢測終端之間的通信問題，引入分布 式協(xié)同算法，并在此基礎(chǔ)上，設(shè)計一種分布式入侵檢測系統(tǒng)。入侵檢 測系統(tǒng)是一種積極主動的安全防護機制，不僅能夠防御對來自外網(wǎng)入 侵攻擊，還能有效地

2、防止內(nèi)網(wǎng)的攻擊和機密信息的泄漏， 入侵檢測系 統(tǒng)有效地提高網(wǎng)絡(luò)安全的整體水平，它已經(jīng)成為網(wǎng)絡(luò)信息安全領(lǐng)域的 研究熱點。1概述論據(jù)推理理論是入侵檢測系統(tǒng)中應(yīng)用最為廣泛的數(shù) 據(jù)融合算法，已成為一種最適合的不確定推理方法。 它不需要任何先 驗的概率，直接利用區(qū)間信度刻畫證據(jù)度量和命題結(jié)果，處理“不確 定”與“不知道”的信息，約束條件寬松，與經(jīng)典的概率論、貝葉斯 理論有著本質(zhì)的區(qū)別。盡管如此，若入侵檢測技術(shù)采用傳統(tǒng)的證據(jù)理 論進行數(shù)據(jù)融合計算，在網(wǎng)絡(luò)環(huán)境各種干擾和噪聲的影響下， 系統(tǒng)中 攻擊行為、入侵事件與惡意企圖等網(wǎng)絡(luò)入侵目標(biāo)的識別能力急劇下 降，漏報率和誤報率增加，因此，需要改進傳統(tǒng)的證據(jù)理論，使

3、其適 i 最新資料歡迎閱讀 合網(wǎng)絡(luò)入侵檢測技術(shù)。2證據(jù)合成算法的研究與改進在入侵檢測系統(tǒng) 中，對于各子系統(tǒng)上報的可疑行為，需要對來自各個多個信息源的數(shù) 據(jù)進行關(guān)聯(lián)、估計和組合等處理，從而進行識別判斷。證據(jù)理論就是 用于數(shù)據(jù)融合的算法之一。2.1 D-S證據(jù)理論證據(jù)推理是由 Dempster首先提出的，并由Shafer進一步完善發(fā)展起來的，所以 又稱作Dempster-Shafer 證據(jù)理論或D-S證據(jù)理論。D-S證據(jù)推理 是從經(jīng)典的集合論的基礎(chǔ)上發(fā)展而來的。 設(shè)為某一的辨別框架非 空的集合，且各元素之間滿足互斥條件，其所有的子集構(gòu)成幕集2 。則基本信任指派函數(shù)可表達(dá)為BPA : mA0,1，其

4、中A為幕集2 中任一子集，表示證據(jù)支持命題A發(fā) 生的程度mA。上式K表示兩個證據(jù)體突沖程度的度量，也是描述 是否適用證據(jù)推理算法的依據(jù)。如果K=1，則證據(jù)體完全矛盾，D-S融 合算法失效； 如果K值較小，則證據(jù)體是一致的，可以使用歸一化處理。實踐證 明：利用傳統(tǒng)的證據(jù)合成規(guī)則在合成不同證據(jù)時出現(xiàn)的計算復(fù)雜度問 題屬于NP完全問題，計算復(fù)雜度隨識別框架的基數(shù)的增加而成指數(shù) 增加，極大的計算量限制了其應(yīng)用。2.2基于D-S證據(jù)理論的算法 改進（1）相關(guān)函數(shù)Dubois和Prade認(rèn)為證據(jù)理論中焦元的基數(shù) 和焦元的基本概率賦值信息是證據(jù)的構(gòu)成的重要因素，因此，改進算 法選擇參與融合的焦元的標(biāo)準(zhǔn)不是焦

5、元的基本概率賦值，而是以證據(jù) 的平均能量函數(shù)作為評判的選擇標(biāo)準(zhǔn)，平均能量函數(shù)可包括證據(jù)的焦 元能量函數(shù)和平均能量函數(shù)。（2）分類規(guī)則如果采用焦元能量函怠 （18）藝萜驕能量函數(shù)作為合成過程中焦元的分類規(guī)則，則可將焦元分為 兩類：保留焦元（焦元的能量大于或等于證據(jù)的平均能量）和拋棄焦 元（焦元的能量小于證據(jù)的平均能量）。其中，Nib，Nip，Ni分別 為證據(jù)保留焦元集中的焦元（命題）個數(shù)、拋棄焦元集中的焦元個數(shù) 以及證據(jù)i所支持的焦元個數(shù)。焦元分類規(guī)則能夠較為精確的區(qū)分 識別框架Q中所有的證據(jù)體須要融合計算的焦元和對組合計算最終 拋棄的焦元。即參與組合計算的焦元將精確標(biāo)出， 這樣就大大減小了 推

6、理合成的計算量，避免焦元爆炸的現(xiàn)象。（3）算法描述如果被拋 棄的焦元中的一些信息如果不參與證據(jù)合成計算，那么，可能會使最 終決策結(jié)果產(chǎn)生偏差，即據(jù)證丟失可能影響最終的判決結(jié)果。因此， 對于拋棄的焦元，需要對其基本概率賦值進行再分配， 使拋棄焦元自 身攜帶的有用信息得以有效利用，參與到?jīng)Q策結(jié)論的判決過程中。這 樣，不會因拋棄焦元的有用信息不會損失而使判決結(jié)果有較大的偏 差。設(shè)Pk為SiP中一焦元，為與之相關(guān)的集合，BG為SiB中與 Pk相交不為空的焦元組成的集合； 如果SiB中與Pk相交不為空則可判斷所拋棄的焦元中含有用的信 息理論不會影響結(jié)果，因此，只需考慮集合BG。對拋棄焦元Dk 的基本概率

7、賦值再次分配時，只要將拋棄焦元的基本概率賦值分配在 有嵌套關(guān)系或相交的焦元集上。當(dāng)拋棄焦元與所有保留焦元相交為空 時，將其基本概率賦值分配給未知命題 Q。拋棄焦元基本概率賦值重 新分配方法如下：（1）終端TO即主控中心對于所有的入侵檢測任 務(wù)，如果有 “mi?M則查詢本體的攻擊特征入侵規(guī)則庫，獲悉該任 務(wù)多個原子攻擊序列組成，A=a1, a2,，an,此時，主控中心向 所有入侵檢測終端Tn廣播消息序列，分發(fā)入侵的檢測結(jié)果。（2）收 到主控中心訂閱消息后，各終遄Tn向主控中心T0回復(fù)一條確認(rèn)消 息。（3）各入侵檢測終端Tn如果檢測到了入侵行為或惡意攻擊時， 主動向主控中心T0發(fā)送入侵告警消息。（

8、4）主控中心T0對收到 來自各個入侵檢測終端的原子入侵消息（包括T0自身匯報的和從其 他T匯報的）進行關(guān)聯(lián)分析，建立檢測模型，通過融合計算，判斷 是否存在入侵企圖或存在的攻擊等威脅，并向網(wǎng)絡(luò)管理者發(fā)出報警或 主動切斷網(wǎng)絡(luò)的連接。各入侵檢測終端Tn所承擔(dān)的分析任務(wù)是發(fā)現(xiàn) 網(wǎng)段內(nèi)的協(xié)同攻擊，其分析依據(jù)是來自各自檢測信息以及從主控中心 訂閱的原子入侵報警（協(xié)同其他入侵檢測終端或 T0 ）。主控中心T0 對于收集到的終端Tn上報的信息集合，進行關(guān)聯(lián)分析，試圖找出各 個入侵者所有可能的關(guān)聯(lián)方式，即所有可能的入侵者組合的集合。4 改進算法的實現(xiàn)入侵檢測系統(tǒng)將向其他終端Tn訂閱入侵消息的終 端T0定義為主控

9、端，定義T0自身檢測信息以及其他Tn的原子入 侵報警信息為證據(jù)。參與主控端T0融合的證據(jù)來源于T0自身及其 他Tn，主控中心T0和其他入侵檢測終端Tn具有局部檢測分析的 功能，獨立性很強，需要對對局部檢測分析報告事件或存在的攻擊可 能行為進行明確的定義。各終端上報T0的事件格式需要適用入侵檢 測分析環(huán)境的不同、檢測的技術(shù)方式的差異。因而需要對可疑事件的 報告格式進行定義。定義格式如表1所示。只要各終端T獲取可疑 事件相應(yīng)的局部決策表，利用分布式協(xié)同算法，上報主控端T0由主 控端最終融合計算，得出檢測結(jié)論。設(shè)各終端上報的可疑事件i的 證據(jù)體為Aj ，miAjj=1，2,，N,運用改進算法進行融合的流程 圖如圖2所示。改進的證據(jù)推理算法步驟如下：K侗鸝蚣苤械慕 乖安照保留下焦元和拋棄焦元進行分類，并計算焦元能量函數(shù)、證據(jù) 平均能量函數(shù)； 計算拋棄焦元的基本概率賦值，根據(jù)基本概率值實現(xiàn)拋棄焦元再分 配，減少因拋棄焦元因攜帶有用信息而對融合結(jié)果產(chǎn)生的偏差； 根據(jù)證據(jù)合成規(guī)則，融合判斷是否有入侵