今天小編給大家?guī)砹?018基于證據(jù)推理算法的入侵檢測(cè)系統(tǒng)設(shè)計(jì)方案����,有需要的小伙伴一起來參考一下吧,希望能給大家?guī)韼椭?/p>
數(shù)據(jù)融合算法是入侵檢測(cè)系統(tǒng)設(shè)計(jì)的核心內(nèi)容�,對(duì)于“不知道”與”不確定”信息的處理,證據(jù)推理算法具有十分突出的特點(diǎn)�����,已成為數(shù)據(jù)融合算法的熱點(diǎn)��。為了避免焦元爆炸問題,該文采用一種可有效減少證據(jù)合成計(jì)算量又可確保合成實(shí)時(shí)性準(zhǔn)確性數(shù)據(jù)融合算法�����。為了解決分布式系統(tǒng)中主控端與各入侵檢測(cè)終端之間的通信問題�,引入分布式協(xié)同算法,并在此基礎(chǔ)上�����,設(shè)計(jì)一種分布式入侵檢測(cè)系統(tǒng)�。
入侵檢測(cè)系統(tǒng)是一種積極主動(dòng)的安全防護(hù)機(jī)制,不僅能夠防御對(duì)來自外網(wǎng)入侵攻擊����,還能有效地防止內(nèi)網(wǎng)的攻擊和機(jī)密信息的泄漏,入侵檢測(cè)系統(tǒng)有效地提高網(wǎng)絡(luò)安全的整體水平�����,它已經(jīng)成為網(wǎng)絡(luò)信息安全領(lǐng)域的研究熱點(diǎn)�����。
1 概述
論據(jù)推理理論是入侵檢測(cè)系統(tǒng)中應(yīng)用最為廣泛的數(shù)據(jù)融合算法�����,已成為一種最適合的不確定推理方法�。它不需要任何先驗(yàn)的概率,直接利用區(qū)間信度刻畫證據(jù)度量和命題結(jié)果�����,處理“不確定”與“不知道”的信息����,約束條件寬松,與經(jīng)典的概率論�����、貝葉斯理論有著本質(zhì)的區(qū)別����。盡管如此,若入侵檢測(cè)技術(shù)采用傳統(tǒng)的證據(jù)理論進(jìn)行數(shù)據(jù)融合計(jì)算����,在網(wǎng)絡(luò)環(huán)境各種干擾和噪聲的影響下,系統(tǒng)中攻擊行為�、入侵事件與惡意企圖等網(wǎng)絡(luò)入侵目標(biāo)的識(shí)別能力急劇下降�,漏報(bào)率和誤報(bào)率增加�,因此,需要改進(jìn)傳統(tǒng)的證據(jù)理論�,使其適合網(wǎng)絡(luò)入侵檢測(cè)技術(shù)。
2 證據(jù)合成算法的研究與改進(jìn)
在入侵檢測(cè)系統(tǒng)中�,對(duì)于各子系統(tǒng)上報(bào)的可疑行為,需要對(duì)來自各個(gè)多個(gè)信息源的數(shù)據(jù)進(jìn)行關(guān)聯(lián)��、估計(jì)和組合等處理��,從而進(jìn)行識(shí)別判斷�����。證據(jù)理論就是用于數(shù)據(jù)融合的算法之一�。
2.1 D-S證據(jù)理論
證據(jù)推理是由Dempster首先提出的,并由Shafer進(jìn)一步完善發(fā)展起來的��,所以又稱作Dempster-Shafer證據(jù)理論或D-S證據(jù)理論��。
D-S證據(jù)推理是從經(jīng)典的集合論的基礎(chǔ)上發(fā)展而來的�����。設(shè)Θ為某一的辨別框架非空的集合�,且各元素之間滿足互斥條件,其所有的子集構(gòu)成冪集2Θ�����。則基本信任指派函數(shù)可表達(dá)為[BPA:mA→0��,1]�,其中A為冪集2Θ中任一子集,表示證據(jù)支持命題A發(fā)生的程度[mA] ��。
上式K表示兩個(gè)證據(jù)體突沖程度的度量��,也是描述是否適用證據(jù)推理算法的依據(jù)�。如果K=1,則證據(jù)體完全矛盾��,D-S融合算法失效����;如果K值較小,則證據(jù)體是一致的�����,可以使用歸一化處理。
實(shí)踐證明:利用傳統(tǒng)的證據(jù)合成規(guī)則在合成不同證據(jù)時(shí)出現(xiàn)的計(jì)算復(fù)雜度問題屬于NP完全問題����,計(jì)算復(fù)雜度隨識(shí)別框架的基數(shù)的增加而成指數(shù)增加,極大的計(jì)算量限制了其應(yīng)用�����。
2.2 基于D-S證據(jù)理論的算法改進(jìn)
(1) 相關(guān)函數(shù)
Dubois和Prade認(rèn)為證據(jù)理論中焦元的基數(shù)和焦元的基本概率賦值信息是證據(jù)的構(gòu)成的重要因素��,因此����,改進(jìn)算法選擇參與融合的焦元的標(biāo)準(zhǔn)不是焦元的基本概率賦值,而是以證據(jù)的平均能量函數(shù)作為評(píng)判的選擇標(biāo)準(zhǔn)��,平均能量函數(shù)可包括證據(jù)的焦元能量函數(shù)和平均能量函數(shù)�����。
(2) 分類規(guī)則
如果采用焦元能量函��、证据乞溎芰亢瘮(shù)作為合成過程中焦元的分類規(guī)則����,則可將焦元分為兩類:
保留焦元(焦元的能量大于或等于證據(jù)的平均能量)和拋棄焦元(焦元的能量小于證據(jù)的平均能量)�。
其中����,[Nib�,Nip,Ni]分別為證據(jù)保留焦元集中的焦元(命題)個(gè)數(shù)�、拋棄焦元集中的焦元個(gè)數(shù)以及證據(jù)i所支持的焦元個(gè)數(shù)。
焦元分類規(guī)則能夠較為精確的區(qū)分識(shí)別框架Q中所有的證據(jù)體須要融合計(jì)算的焦元和對(duì)組合計(jì)算最終拋棄的焦元�。即參與組合計(jì)算的焦元將精確標(biāo)出,這樣就大大減小了推理合成的計(jì)算量����,避免焦元爆炸的現(xiàn)象。
(3) 算法描述
如果被拋棄的焦元中的一些信息如果不參與證據(jù)合成計(jì)算����,那么,可能會(huì)使最終決策結(jié)果產(chǎn)生偏差�����,即據(jù)證丟失可能影響最終的判決結(jié)果����。因此,對(duì)于拋棄的焦元,需要對(duì)其基本概率賦值進(jìn)行再分配�����,使拋棄焦元自身攜帶的有用信息得以有效利用�����,參與到?jīng)Q策結(jié)論的判決過程中��。這樣�����,不會(huì)因拋棄焦元的有用信息不會(huì)損失而使判決結(jié)果有較大的偏差����。
設(shè)[Pk]為[SiP]中一焦元,為與之相關(guān)的集合�����,[BG]為[SiB]中與[Pk]相交不為空的焦元組成的集合��;如果[SiB]中與[Pk]相交不為空則可判斷所拋棄的焦元中含有用的信息理論不會(huì)影響結(jié)果�,因此����,只需考慮集合[BG]�。對(duì)拋棄焦元[Dk]的基本概率賦值再次分配時(shí),只要將拋棄焦元的基本概率賦值分配在有嵌套關(guān)系或相交的焦元集上�����。當(dāng)拋棄焦元與所有保留焦元相交為空時(shí)�,將其基本概率賦值分配給未知命題Q����。
拋棄焦元基本概率賦值重新分配方法如下:
(1) 終端T0即主控中心對(duì)于所有的入侵檢測(cè)任務(wù),如果有"mi?M�,則查詢本體的攻擊特征入侵規(guī)則庫,獲悉該任務(wù)多個(gè)原子攻擊序列組成����,A={a1,a2����,…,an}��,此時(shí),主控中心向所有入侵檢測(cè)終端Tn廣播消息序列�����,分發(fā)入侵的檢測(cè)結(jié)果����。
(2) 收到主控中心訂閱消息后,各終遄Tn向主控中心T0回復(fù)一條確認(rèn)消息�����。
(3) 各入侵檢測(cè)終端Tn如果檢測(cè)到了入侵行為或惡意攻擊時(shí)�����,主動(dòng)向主控中心T0發(fā)送入侵告警消息����。
(4) 主控中心T0對(duì)收到來自各個(gè)入侵檢測(cè)終端的原子入侵消息(包括T0自身匯報(bào)的和從其他T匯報(bào)的)進(jìn)行關(guān)聯(lián)分析,建立檢測(cè)模型����,通過融合計(jì)算,判斷是否存在入侵企圖或存在的攻擊等威脅��,并向網(wǎng)絡(luò)管理者發(fā)出報(bào)警或主動(dòng)切斷網(wǎng)絡(luò)的連接。
各入侵檢測(cè)終端Tn所承擔(dān)的分析任務(wù)是發(fā)現(xiàn)網(wǎng)段內(nèi)的協(xié)同攻擊�,其分析依據(jù)是來自各自檢測(cè)信息以及從主控中心訂閱的原子入侵報(bào)警(協(xié)同其他入侵檢測(cè)終端或T0)。主控中心T0對(duì)于收集到的終端Tn上報(bào)的信息集合�����,進(jìn)行關(guān)聯(lián)分析�,試圖找出各個(gè)入侵者所有可能的關(guān)聯(lián)方式,即所有可能的入侵者組合的集合�。
4 改進(jìn)算法的實(shí)現(xiàn)
入侵檢測(cè)系統(tǒng)將向其他終端Tn訂閱入侵消息的終端T0定義為主控端����,定義T0自身檢測(cè)信息以及其他Tn的原子入侵報(bào)警信息為證據(jù)。
參與主控端T0融合的證據(jù)來源于T0自身及其他Tn����,主控中心T0和其他入侵檢測(cè)終端Tn具有局部檢測(cè)分析的功能,獨(dú)立性很強(qiáng)��,需要對(duì)對(duì)局部檢測(cè)分析報(bào)告事件或存在的攻擊可能行為進(jìn)行明確的定義�。各終端上報(bào)T0的事件格式需要適用入侵檢測(cè)分析環(huán)境的不同、檢測(cè)的技術(shù)方式的差異����。因而需要對(duì)可疑事件的報(bào)告格式進(jìn)行定義�����。定義格式如表1所示����。
只要各終端T獲取可疑事件相應(yīng)的局部決策表�,利用分布式協(xié)同算法,上報(bào)主控端T0由主控端最終融合計(jì)算����,得出檢測(cè)結(jié)論。
設(shè)各終端上報(bào)的可疑事件i的證據(jù)體為[Aj����,miAjj=1,2����,…�,N]��,運(yùn)用改進(jìn)算法進(jìn)行融合的流程圖如圖2所示����。
改進(jìn)的證據(jù)推理算法步驟如下:
①κ侗鸝蚣苤械慕乖安照保留下焦元和拋棄焦元進(jìn)行分類���,并計(jì)算焦元能量函數(shù)、證據(jù)平均能量函數(shù)�;
②計(jì)算拋棄焦元的基本概率賦值,根據(jù)基本概率值實(shí)現(xiàn)拋棄焦元再分配���,減少因拋棄焦元因攜帶有用信息而對(duì)融合結(jié)果產(chǎn)生的偏差�����;
③根據(jù)證據(jù)合成規(guī)則�,融合判斷是否有入侵事件��,并獲得最終融合結(jié)果����。
5 小結(jié)
本文重點(diǎn)對(duì)D-S證據(jù)理論進(jìn)行了研究��,采用基于D-S證據(jù)理論的算法改進(jìn)��,引入分布式協(xié)同算法來解決各終端之間的協(xié)同問題��,設(shè)計(jì)一種分布式入侵檢測(cè)系統(tǒng)���。通過實(shí)踐證明改進(jìn)的證據(jù)推理算法能夠有效地減少數(shù)據(jù)融合的計(jì)算量��,同時(shí)還能提高系統(tǒng)的融合性能�����,達(dá)到設(shè)計(jì)的要求����。
來源:網(wǎng)絡(luò)整理 免責(zé)聲明:本文僅限學(xué)習(xí)分享,如產(chǎn)生版權(quán)問題���,請(qǐng)聯(lián)系我們及時(shí)刪除�。
《
2018年基于證據(jù)推理算法的入侵檢測(cè)系統(tǒng)設(shè)計(jì)方案》由互聯(lián)網(wǎng)用戶整理提供,轉(zhuǎn)載分享請(qǐng)保留原作者信息,謝謝!
鏈接地址:http://m.seogis.com/gongwen/181486.html
