電子科技大學 計算機入侵檢測技術2

1、第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術計算機入侵檢測技術基于多傳感器數(shù)據(jù)融合的入侵檢測技術基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章 基于多傳感器數(shù)據(jù)融合的入侵檢測技術 第一節(jié) 引言 下一代的IDS需要通過各種異質(zhì)的分布式網(wǎng)絡傳感器來獲取并融合數(shù)據(jù)，以形成對網(wǎng)絡系統(tǒng)的態(tài)勢估計。 這樣的IDS用到了多傳感器數(shù)據(jù)融合技術，其概念最早出現(xiàn)于20世紀70年代的軍事領域，具有較強的軍事特色它已成功應用于軍事和民用的諸多方面。定義定義2.1數(shù)據(jù)融合（Data Fusion）：是一個多級多

2、側(cè)面的加工過程，包括對多個數(shù)據(jù)源的數(shù)據(jù)和信息的自動化檢測、互聯(lián)、相關、估計和組合處理。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第一節(jié) 引言本章的主要內(nèi)容包括：1、提出了一種新型基于多傳感器數(shù)據(jù)融合的網(wǎng)絡入侵檢測機制DFIDM；2、結(jié)合數(shù)據(jù)融合技術中的分布式多傳感器系統(tǒng)，分別針對單目標和多目標的情況進行理論分析，提出了數(shù)據(jù)融合技術能較大程度提高入侵檢測系統(tǒng)的有效性和準確性的理論依據(jù)；3、基于理論分析得出的依據(jù)，詳細討論DFIDM機制的設計與實現(xiàn)；4、研究DFIDM機制中數(shù)據(jù)校準、實時性保證等其它一些重要問題；5、對該機制進行了實驗驗證和性能分析；第二章基

3、于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二節(jié) 數(shù)據(jù)融合技術的理論依據(jù) 一、數(shù)據(jù)融合技術的意義一、數(shù)據(jù)融合技術的意義1、提高系統(tǒng)穩(wěn)定性：即使某些傳感器失效、受到干擾或無法覆蓋事件和目標的全體時，仍有傳感器可以提供信息；2、擴大觀測在空間和時間上的覆蓋范圍：利用多個傳感器，可以在不同時間和視點上觀測同一目標，擴大了系統(tǒng)檢測的時空范圍；3、增加對象的信息量：由于采用了不同種類的、在時空上分布的傳感器，可以在不同層面上獲取對象更多的互補信息；4、增加信息的準確性；5、提高決策的準確性。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二

4、節(jié) 數(shù)據(jù)融合技術的理論依據(jù)二、融合系統(tǒng)的功能模塊二、融合系統(tǒng)的功能模塊從整體框架上看，一個融合系統(tǒng)的主要功能模塊包括：傳感器及其管理模塊、數(shù)據(jù)管理模塊、信息優(yōu)化融合模塊和數(shù)據(jù)傳輸通道。三、融合系統(tǒng)的基本結(jié)構三、融合系統(tǒng)的基本結(jié)構根據(jù)多傳感器系統(tǒng)中觀測、決策和融合的關系，大體上可分為集中式和分布式兩種基本結(jié)構。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、融合系統(tǒng)的基本結(jié)構1、 集中式結(jié)構中，各傳感器對目標進行觀測所得到的原始數(shù)據(jù)全部送到融合中心FC（Fusion Center），由融合中心完成對數(shù)據(jù)的各種處理，然后做出最終決策。觀測器1觀測器2觀測器n融

5、合中心最終決策.圖2.1集中式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、融合系統(tǒng)的基本結(jié)構2、分布式結(jié)構分為以下三種（1）并行結(jié)構對信道帶寬與融合中心處理能力的要求較低，本章的DFIDM就采用這種結(jié)構。本地決策1融合中心最終決策.檢測器1檢測器1檢測器1本地決策2本地決策3圖2.2并行分布式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、融合系統(tǒng)的基本結(jié)構（2）串行分布式融合系統(tǒng)。第一個檢測器，其余每個檢測器在接收自己的觀測數(shù)據(jù)之外，還能獲得上一個檢測器的決策，融合后的最終結(jié)果由最后一個檢測器輸出。串

6、行結(jié)構在鏈路發(fā)生故障時會導致整個系統(tǒng)都會受到影響，故應用場合比并行結(jié)構少檢測器1檢測器n檢測器2觀測1 觀測2 觀測n 本地決策1本地決策2.本地決策n最終決策圖2.3 串行分布式融合系統(tǒng) 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、融合系統(tǒng)的基本結(jié)構（3）網(wǎng)絡分布式融合系統(tǒng)。第0層的各個檢測器接收自己的觀測矢量并做出決策，形成第1層輸入矢量。從第1層到第k層為中間融合層，第k1層為最終融合層。這種多層決策融合網(wǎng)絡可以實現(xiàn)比單純并行或串行更優(yōu)的功能，但會大大增加系統(tǒng)的開銷。本地決策1本地決策n本地決策2融合1，1融合1，2融合1，n1融合k，i融合k，1

7、融合k，nk融合k1，nk.第0層第1層第k層第k1層.圖2.4 網(wǎng)絡分布式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、分布式檢測與決策融合的概念模型由傳感器、決策器和融合中心組成，其模型如下圖。圖 2.5 單目標并行分布式檢測與決策融合系統(tǒng)入侵行為u. .u1unu2決策器g2決策器gn傳感器2傳感器nu2融合中心（FC）檢測器（DM）g傳感器1決策器g1第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、分布式檢測與決策融合的概念模型a、先給出其概念模型：設有 個假設（Hypothesis）： ， ， （對于二

8、元假設為，可表示入侵行為的有或無） b、設有n個檢測器，每個檢測器DM（Decision Maker）由傳感器（Sensor）和決策器組成。第i個檢測器對目標的觀測矢量為 = ， i=1,2,n ，每個檢測器DM根據(jù)其目標觀測矢量 ，按一定方法和準則做出相應本地決策 =C、該模型僅對檢測一種入侵行為有效，稱為“單目標多傳感器二元融合系統(tǒng)”；當系統(tǒng)需要同時對多種入侵行為進行檢測，則需要對該模型進行擴展，稱為“多目標多傳感器二元融合系統(tǒng)”。m2Hixif（H） iu)(iixg ixmH2H第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術五、通過多傳感器提高系統(tǒng)準確

9、性的幾個結(jié)論結(jié)論一結(jié)論一：在適當?shù)娜诤喜呗苑绞较?，多傳感器融合之后的條件熵不大于單傳感器的條件熵，即多傳感器系統(tǒng)的融合輸出可以獲得更小的不確定度。結(jié)論二結(jié)論二：當觀測信息相關性最小，也即它們相互獨立時 ， 融 合 系 統(tǒng) 對 輸 出 不 準 確 性 的 壓 縮 能 力（Compress Ability）最大。為此，在系統(tǒng)中各傳感器之間應相互無關，互不干擾。結(jié)論三結(jié)論三：融合系統(tǒng)的性能還取決于是否最大程度的提取了系統(tǒng)的先驗信息，即系統(tǒng)的融合性能與各檢測器的自身性能密切相關。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第三節(jié) 單目標多傳感器二元融合系統(tǒng) 系統(tǒng)模型

10、圖如下：u檢測器融合中心決策器 g1決策器 g2決策器 gn傳感器 1傳感器 2傳感器 nU2g入侵類型（ H ,0）H1U1Un圖2.6 單目標、二元并行分布式融合系統(tǒng) 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第三節(jié) 單目標多傳感器二元融合系統(tǒng)a、設二元假設： 表示不存在目標， 表示存在目標，它們的先驗概率分別為 和 。各檢測器 將各自決策 和決策水平 與 傳遞到融合中心，融合中心基于這些本地決策作出最后的決策 。b、通過推導可得最終融合可靠性函數(shù)：niiiauauL10) 12()(0H1H00)(PHP11)(PHPiDMiuFiPMiPu第二章基

11、于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第三節(jié) 單目標多傳感器二元融合系統(tǒng)結(jié)論四結(jié)論四：對于單目標二元的多傳感器融合系統(tǒng)，a、融合后的最終可靠性由被檢測目標的先驗概率、各檢測器的虛警概率和漏報概率所決定，可表達為以上函數(shù)關系；b、由于 各不相同，各檢測器會對最終決策產(chǎn)生不同程度的影響。虛警率和漏報率越小的檢測器對最終決策的影響越大；c、為保證融合公式中 的準確性，在系統(tǒng)運行前和運行過程中，都應進行統(tǒng)一的功能測試；iaia第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第三節(jié) 單目標多傳感器二元融合系統(tǒng)d、在得到最終融合可靠性系數(shù)后

12、，系統(tǒng)還需要提供閾值和判決函數(shù)來得出最終的判決結(jié)果，可表示如下：目標存在：目標不存在，若，若10)(1)(0)(HHAuLAuLuLf第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第四節(jié) 多目標多傳感器二元融合系統(tǒng) 在實際應用場合下，如果需要對同時發(fā)生的多種入侵行為進行判斷，可將其擴展為多目標多傳感器二元融合系統(tǒng)。其系統(tǒng)模型圖如下：(u)檢測器融合中心決策器 g1決策器 g2決策器 gn傳感器 1傳感器 2傳感器 n(U2)g入侵類型1（ H ,0）H1 入侵類型2（ H ,0）H1入侵類型m（ H ,0）H1(U1)(Un)圖2.7 多目標、二元并行分布式融

13、合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第四節(jié) 多目標多傳感器二元融合系統(tǒng)一、基本思路：將多目標多傳感器二元融合系統(tǒng)的問題，轉(zhuǎn)化為m個單目標多傳感器二元融合系統(tǒng)的問題。二、系統(tǒng)所檢測的目標是二元目標，每個目標代表了一種已知入侵類型，每個類型的二元假設分別代表了該入侵類型的發(fā)生與否，n個檢測器仍然通過分布式結(jié)構對多個目標進行檢測。三、依據(jù)：從系統(tǒng)的設計目標來看，并不需要在檢測過程中建立不同入侵類型之間的關聯(lián)，因而以上方法是符合設計要求的。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第四節(jié) 多目標多傳感器二元融合系統(tǒng)

14、四、數(shù)據(jù)結(jié)構的變化：1、本地檢測為向量，對于檢測器i的本地決策可表示如下，一般地， 表示檢測器 對攻擊類型 的檢測結(jié)果。 2、本地決策經(jīng)過融合中心處理后得到的最終融合結(jié)果 ，也是一個與 表達方式相同的向量。3、在融合中心進行數(shù)據(jù)融合的過程中，數(shù)據(jù)樣本并非向量而是一個mn的矩陣。jAij)(u)(iumA.01第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第五節(jié) 多目標多傳感器二元融合系統(tǒng) DFIDM的層次模型和功能布局如圖2.8所示 最終決策TA（威脅估價）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡原始數(shù)據(jù)管理策略OR（對象提取模塊）圖2.8 DFIDM的

15、層次和功能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第五節(jié) 多目標多傳感器二元融合系統(tǒng)一、按整個系統(tǒng)的功能劃分為一、按整個系統(tǒng)的功能劃分為5 5個層次個層次：1、首先通過遍布系統(tǒng)各處的分布式傳感器獲取原始數(shù)據(jù)；2、原始數(shù)據(jù)經(jīng)過校準過濾后填寫標準的原始數(shù)據(jù)記錄庫，并形成相關對象；3、對象提取在時間（或空間）上相關聯(lián)，其數(shù)據(jù)按統(tǒng)一標準關聯(lián)、配對、分類，形成一個基于對象的集合；4、利用融合決策算法，對狀態(tài)進行提取以形成對入侵行為的威脅評估；5、根據(jù)威脅評估進行最終決策；6、在以上層次結(jié)構以外，管理策略獨立存在并管理、維護整個系統(tǒng)。第二章基于多傳感器數(shù)據(jù)融合的

16、入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第五節(jié) 多目標多傳感器二元融合系統(tǒng)二、各部分功能說明二、各部分功能說明 1、分布式傳感器DS（Distributing Sensors）布置在系統(tǒng)的各個部分，主要分為兩類，即基于主機的傳感器和基于網(wǎng)絡的傳感器，這些傳感器用來獲取來自網(wǎng)絡或者主機的原始數(shù)據(jù)；2、數(shù)據(jù)提取模塊DR（Data Refinement）應布置于傳感器本地，以便于提高效率； 最終決策TA（威脅估價）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡原始數(shù)據(jù)管理策略OR（對象提取模塊）圖2.8 DFIDM的層次和功能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器

17、數(shù)據(jù)融合的入侵檢測技術二、各部分功能說明3、為保證檢測的實時性，傳感器網(wǎng)絡必須比被保護的目標網(wǎng)絡快，這樣才能及時做出分析和響應，關于保證該系統(tǒng)檢測功能的實時性問題，本章將在后面詳細討論；4、對象提取OR（Object Refinement）和威脅估價TA（Threat Assessment）兩個模塊可一同布置于融合中心FS（Fusion Center）。這有利于對象提取時，通過配準形成一個基于對象的聚集的集合，同時也有利于狀態(tài)提取和威脅評估時的數(shù)據(jù)集中處理； 最終決策TA（威脅估價）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡原始數(shù)據(jù)管理策略OR（對象提取模塊）圖2.8 DFIDM的層次和功

18、能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第六節(jié) DFIDM的數(shù)據(jù)與對象提取 一、入侵行為的表示與存儲一、入侵行為的表示與存儲在在DFIDM中選擇類似于中選擇類似于SNMP MIB（Management Information Binary）的結(jié)構來分類存貯各類入侵行）的結(jié)構來分類存貯各類入侵行為，稱之為入侵規(guī)則數(shù)據(jù)庫，或規(guī)則樹，如圖為，稱之為入侵規(guī)則數(shù)據(jù)庫，或規(guī)則樹，如圖2.9。TCP/IP 1Hardware1.1Network1.2Transport1.3Application1.4Transport 1.3TCP1.3.1UDP1.3.2IC

19、MP1.3.3n1.3.nTCP 1.3.1SYN1.3.1.1SEQ1.3.1.2XXX1.3.1.3n1.3.1.n圖2.9 規(guī)則樹示意圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第六節(jié) DFIDM的數(shù)據(jù)與對象提取二、分布式傳感器二、分布式傳感器DSDS（Distributing SensorsDistributing Sensors）DSDS布置在系統(tǒng)的各個部分來獲取原始數(shù)據(jù)，其輸出應布置在系統(tǒng)的各個部分來獲取原始數(shù)據(jù)，其輸出應該是完整的網(wǎng)絡原始數(shù)據(jù)樣本。該是完整的網(wǎng)絡原始數(shù)據(jù)樣本。三、數(shù)據(jù)提取模塊三、數(shù)據(jù)提取模塊DRDR（Data Refinem

20、entData Refinement）DRDR應布置于傳感器本地，以減小傳輸開銷，其作用是應布置于傳感器本地，以減小傳輸開銷，其作用是對對DSDS的原始數(shù)據(jù)進行預處理。主要功能為：的原始數(shù)據(jù)進行預處理。主要功能為：1 1、對、對DSDS所提供的數(shù)據(jù)進行過濾，保證數(shù)據(jù)的規(guī)范性；所提供的數(shù)據(jù)進行過濾，保證數(shù)據(jù)的規(guī)范性；2 2、對、對DSDS提供的原始數(shù)據(jù)進行本地決策，并形成相關對提供的原始數(shù)據(jù)進行本地決策，并形成相關對象；象；第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、數(shù)據(jù)提取模塊DR（Data Refinement） 3 3、對本地決策后形成的對象標志符、

21、對本地決策后形成的對象標志符OIDOID，加上時間標，加上時間標記記TTTT（Time TagTime Tag）和空間標記）和空間標記STST（Space TagSpace Tag），由），由此形成帶有時空標記的此形成帶有時空標記的OIDOID。DFIDMDFIDM為保證從目標系統(tǒng)獲取的數(shù)據(jù)具有時間上的為保證從目標系統(tǒng)獲取的數(shù)據(jù)具有時間上的一致性，在網(wǎng)絡各節(jié)點處維護標準的系統(tǒng)時間周期一致性，在網(wǎng)絡各節(jié)點處維護標準的系統(tǒng)時間周期SSTCSSTC（System Standard Time CycleSystem Standard Time Cycle），該時間周期），該時間周期在系統(tǒng)內(nèi)具有一致性和

22、唯一性。在系統(tǒng)內(nèi)具有一致性和唯一性。4 4、DRDR輸出的對象為本地決策輸出的對象為本地決策LDMLDM（Local DecisionLocal DecisionMakingMaking），主要包括時間標記、空間標記和入侵類型），主要包括時間標記、空間標記和入侵類型等，如圖等，如圖2.10所示。所示。 時間標記TT入侵類型OID空間標記ST圖2.10 本地決策LDM示意圖第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第六節(jié) DFIDM的數(shù)據(jù)與對象提取四、對象提取四、對象提取OR（Object Refinement）OROR針對各節(jié)點傳來的針對各節(jié)點傳來的LDM

23、LDM進行處理，應布置于融合進行處理，應布置于融合中心中心FCFC。對象提取的作用，是按照共同的入侵類型，。對象提取的作用，是按照共同的入侵類型，對數(shù)據(jù)進行區(qū)分，并形成一個基于對象的集合。對數(shù)據(jù)進行區(qū)分，并形成一個基于對象的集合。按以下幾個步驟進行按以下幾個步驟進行1、OR通過初始數(shù)據(jù)緩存空間通過初始數(shù)據(jù)緩存空間ODC（Original Data Cache）接收并存儲來自各節(jié)點）接收并存儲來自各節(jié)點LDM，該空間是一個，該空間是一個對象存儲的集合；對象存儲的集合；2、網(wǎng)絡故障或延遲等因素可能導致同時產(chǎn)生的對象會、網(wǎng)絡故障或延遲等因素可能導致同時產(chǎn)生的對象會異步到達，為此采用了三級延遲緩存的設

24、計思想來加異步到達，為此采用了三級延遲緩存的設計思想來加以解決。以解決。ODC作為第一級緩存；二級緩存空間作為第一級緩存；二級緩存空間SDC用用作時間校準；三級緩存空間作時間校準；三級緩存空間TDC用作對最后按規(guī)則選用作對最后按規(guī)則選出的輸出對象集合進行緩存。出的輸出對象集合進行緩存。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、對象提取OR（Object Refinement）3、對于、對于SDC中創(chuàng)建時間等于中創(chuàng)建時間等于DV的集合，的集合，OR可認為已可認為已通過時間校準。其中，每個對象的時間標記都相同。通過時間校準。其中，每個對象的時間標記都相同。

25、即將從即將從SDCSDC送到送到TDCTDC的一個集合的情況如圖的一個集合的情況如圖2.11所示：所示：O1O2時 間 標 記 TT t0入 侵 類 型 OID空 間 標 記 ST時 間 標 記 TT t0入 侵 類 型 OID空 間 標 記 ST時 間 標 記 TT t0入 侵 類 型 OID空 間 標 記 STOm. .其 中 ， 集 合 中 各 個 元 素 O的 的 時 間 TT相 同 ，等 于 t0， 而 空 間 標 記 ST和 OID則 可 能 不 同 。圖2.11 即將從SDC傳輸?shù)絋DC的集合情況第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、

26、對象提取OR（Object Refinement）第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、對象提取OR（Object Refinement）從從TDC最終輸出的若最終輸出的若干集合的情況如圖干集合的情況如圖2.12所示：所示：說明：一般的，該集合群中任一集合p內(nèi)各個元素的時間TT相同，等于t0；入侵行為OID相同，等于p；而空間標記ST則不同。. . . .集合p是kp個節(jié)點針對第p類入侵所提交的對象O11O12時間標記TTt0入侵類型OID1空間標記ST時間標記TTt0入侵類型OID1空間標記STO1k1.時間標記TTt0入侵類型OID1空間標記S

27、T集合1是k1個節(jié)點針對第一類入侵所提交的對象O21O22時間標記TTt0入侵類型OID2空間標記ST時間標記TTt0入侵類型OID2空間標記STO2k2.時間標記TTt0入侵類型OID2空間標記ST集合2是k2個節(jié)點針對第二類入侵所提交的對象Op1空間標記ST時間標記TTt0入侵類型OIDpOp2空間標記ST時間標記TTt0入侵類型OIDpOpkp空間標記ST時間標記TTt0入侵類型OIDp.圖圖2.12 OR最終輸出到最終輸出到TA的集合群的集合群第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、對象提取OR（Object Refinement）5、工作流

28、程如圖、工作流程如圖2.13所示所示來自各節(jié)點的LDM1，2,.，nODCSDCTDC存放原始數(shù)據(jù)的對象集合存放時間標記相同的對象集合存放按特定規(guī)則選取后的對象集合，例如相同入侵類型的集合輸出到TA圖2.13 OR的工作流程圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、對象提取OR（Object Refinement）接收各節(jié)點LDM1,2,n并存入ODC中每個WT對ODC內(nèi)的對象進行一次處理該對象所對應時間標記的集合是否存在?是將該對象加入SDC中的相應集合創(chuàng)建集合，并將該對象加入SDC中相應集合START系統(tǒng)對SDC內(nèi)的各集合不斷輪詢集合創(chuàng)建時間=

29、DV?系統(tǒng)將該集合內(nèi)各元素，按不同入侵類型重新劃分并形成集合群，存入TDC否否是END圖2.13 OR的工作流程圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第七節(jié) 融合與最終決策 本節(jié)討論本節(jié)討論DFIDM的最后一個部分的最后一個部分TA（Threaten Assessment），其作用主要有三個，即融合策略與），其作用主要有三個，即融合策略與算法、威脅評估以及啟動響應辦法。算法、威脅評估以及啟動響應辦法。 一、各本地決策與本地檢測器的可靠性系數(shù)一、各本地決策與本地檢測器的可靠性系數(shù)1 1、可靠性系數(shù)的調(diào)整可靠性系數(shù)的調(diào)整DFIDMDFIDM維護一個基于

30、各檢測器可靠性系數(shù)的二維矩維護一個基于各檢測器可靠性系數(shù)的二維矩陣陣 ，一般地，一般地， 為第為第i個檢測器對第個檢測器對第j種入侵行為的可種入侵行為的可靠性系數(shù)，并根據(jù)系統(tǒng)實際性能不斷對其進行調(diào)整?？啃韵禂?shù)，并根據(jù)系統(tǒng)實際性能不斷對其進行調(diào)整。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術一、各本地決策與本地檢測器的可靠性系數(shù)2、可靠性系數(shù)的計算可靠性系數(shù)的計算將一次融合過程的檢測器可靠性系數(shù)值記為將一次融合過程的檢測器可靠性系數(shù)值記為 ,并應用于最終融合決策公式的計算中。從系統(tǒng)角度并應用于最終融合決策公式的計算中。從系統(tǒng)角度來看，考慮到各檢測器的可靠性本身

31、具有相同的可來看，考慮到各檢測器的可靠性本身具有相同的可信度，簡化起見，信度，簡化起見，DFIDM將函數(shù)將函數(shù) g設定為算術平均設定為算術平均和，即和，即 ：nniijj1第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第七節(jié) 融合與最終決策二、二、根據(jù)入侵檢測系統(tǒng)的實際需要，根據(jù)入侵檢測系統(tǒng)的實際需要，DFIDMDFIDM在進行融合決在進行融合決策時還引入了空間因素、時序因素、歷史記錄、人工策時還引入了空間因素、時序因素、歷史記錄、人工加權這四個主要因素：加權這四個主要因素：1、空間因素，是指目標系統(tǒng)各節(jié)點上檢測器對同一種入侵行為、空間因素，是指目標系統(tǒng)各節(jié)點

32、上檢測器對同一種入侵行為的聯(lián)合預警的聯(lián)合預警。 2、時序因素，是指當真實攻擊發(fā)生時，各節(jié)點由于網(wǎng)絡拓撲和、時序因素，是指當真實攻擊發(fā)生時，各節(jié)點由于網(wǎng)絡拓撲和路由的不同，可能在對同一入侵行為的檢測上出現(xiàn)異步性。路由的不同，可能在對同一入侵行為的檢測上出現(xiàn)異步性。 3、歷史記錄因素可針對具有一定規(guī)律的入侵行為提高準確性，、歷史記錄因素可針對具有一定規(guī)律的入侵行為提高準確性，本文僅選取特定的攻擊源本文僅選取特定的攻擊源IP地址段這一情況加以分析。為此，系地址段這一情況加以分析。為此，系統(tǒng)維護一個對應于攻擊類型來源的列表，使用可變階二維矩陣統(tǒng)維護一個對應于攻擊類型來源的列表，使用可變階二維矩陣表表達

33、。達。 4、鑒于入侵行為并非完全按可預知的方式進行，而常常具有突、鑒于入侵行為并非完全按可預知的方式進行，而常常具有突發(fā)性、階段性，在融合因素中人為的權衡也有其存在的合理性，發(fā)性、階段性，在融合因素中人為的權衡也有其存在的合理性，為此引入了人為判斷系數(shù)為此引入了人為判斷系數(shù)。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第七節(jié) 融合與最終決策三、三、融合結(jié)果融合結(jié)果最終決策結(jié)果表達為各影響因素的函數(shù)。最終決策結(jié)果表達為各影響因素的函數(shù)。由于無論對函數(shù)由于無論對函數(shù)f f的準確性怎樣進行優(yōu)化，這的準確性怎樣進行優(yōu)化，這5個因素個因素實際上應該對決策結(jié)果施加的影

34、響大小，都難以被準實際上應該對決策結(jié)果施加的影響大小，都難以被準確的反映為具體數(shù)值。確的反映為具體數(shù)值。DFIDM的最終決策結(jié)果以定性的最終決策結(jié)果以定性分析為主，定量計算為輔。分析為主，定量計算為輔。),(f第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術三、融合結(jié)果1、定性結(jié)果的描述定性結(jié)果的描述系統(tǒng)能詳細、規(guī)范地對融合過程中所涉及的因素進行描述，系統(tǒng)能詳細、規(guī)范地對融合過程中所涉及的因素進行描述，并提交相關報告，系統(tǒng)管理者能很詳細地對目標系統(tǒng)中可能發(fā)并提交相關報告，系統(tǒng)管理者能很詳細地對目標系統(tǒng)中可能發(fā)生的各類入侵狀況進行了解，并在此基礎上進行相應處理。生

35、的各類入侵狀況進行了解，并在此基礎上進行相應處理。2、定量公式計算定量公式計算 設系統(tǒng)最終決策為設系統(tǒng)最終決策為 Z，可用一維數(shù)組表達，其分量可用一維數(shù)組表達，其分量 表表示對第示對第j j種入侵行為的決策值，將所有因素等同考慮，則可得：種入侵行為的決策值，將所有因素等同考慮，則可得：qjjjjjj)(第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術2、定量公式計算最終決策最終決策Z Z是元素值介于是元素值介于0 0到到1 1之間的一維數(shù)組，分別對之間的一維數(shù)組，分別對應了各類入侵在某個時刻，經(jīng)過應了各類入侵在某個時刻，經(jīng)過DFIDMDFIDM融合后的發(fā)生概融合

36、后的發(fā)生概率。由于各個影響因素在入侵實際發(fā)生時，可能會對率。由于各個影響因素在入侵實際發(fā)生時，可能會對融合決策起到不同作用，故可以加入調(diào)整系數(shù)序融合決策起到不同作用，故可以加入調(diào)整系數(shù)序列列 ，對于不同因素進行調(diào)整，擴展的計算對于不同因素進行調(diào)整，擴展的計算公式為：公式為：51, ibiqbbbbbjjjjjj)(54321第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第七節(jié) 融合與最終決策四、處理與響應辦法四、處理與響應辦法在得到最終融合可靠性系數(shù)在得到最終融合可靠性系數(shù)L(u)L(u)后，系統(tǒng)還需要后，系統(tǒng)還需要提供閾值提供閾值A A和判決函數(shù)和判決函數(shù)f

37、()f()，來得出最終判決結(jié)果，來得出最終判決結(jié)果f(L(u)f(L(u)。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術四、處理與響應辦法當系統(tǒng)具有低、中、高響應辦法時，閾值當系統(tǒng)具有低、中、高響應辦法時，閾值A A和判決函數(shù)和判決函數(shù)f()f()的方式可以設置如下：的方式可以設置如下： 取值在取值在0,0.30,0.3（閾值條（閾值條件件 ）之間對應威脅程度為低；）之間對應威脅程度為低；0.3,0.70.3,0.7（閾值條（閾值條件件 ）對應威脅程度為中；大于）對應威脅程度為中；大于0.70.7（閾值條件（閾值條件 ）為高。然后根據(jù)判決結(jié)果，系統(tǒng)啟動不同

38、的響應處理為高。然后根據(jù)判決結(jié)果，系統(tǒng)啟動不同的響應處理辦法。辦法。 j1A2A3A 3 . 0 , 0)(,7 . 0 , 3 . 0)(,0 . 1 , 7 . 0)(, ,)(uLuLuLuLf記入日志低等級威脅系統(tǒng)報警中等級威脅立即處理高等級威脅第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第七節(jié) 融合與最終決策五、管理策略五、管理策略 最后是系統(tǒng)管理策略，在以上最后是系統(tǒng)管理策略，在以上層次結(jié)構以外，系統(tǒng)的整體管層次結(jié)構以外，系統(tǒng)的整體管理策略獨立存在并管理、維護理策略獨立存在并管理、維護整個系統(tǒng)。其功能包括：規(guī)則整個系統(tǒng)。其功能包括：規(guī)則庫升級、各

39、層次數(shù)據(jù)庫的維護庫升級、各層次數(shù)據(jù)庫的維護（初始化、定期清空等）、系（初始化、定期清空等）、系統(tǒng)各部分的性能檢查與調(diào)優(yōu)，統(tǒng)各部分的性能檢查與調(diào)優(yōu)，等等。等等。入侵類型編號：j入侵類型名稱：XXX本次入侵涉及的檢測器編號：. .0，n量化計算參考值：0.xx 0，1對應威脅等級： （高、中、低）2、細節(jié)描述：各檢測器可靠性系數(shù)對應關系：. .0，n時間可靠性系數(shù)值：0.xx歷史記錄可靠性系數(shù)值：0.xx人工加權系數(shù)值：0.xx本次量化計算選擇的系數(shù)序列a：. .本次量化計算選擇的計算公式Z：. .3、建議的響應辦法：略1、宏觀描述：對第j類入侵的報告：入侵發(fā)生時間：t0. . .圖2.14 FD

40、IDM最終決策報告 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第八節(jié) DFIDM的及時性和準確性一、一、DFIDM的及時性的及時性 1、在以網(wǎng)絡為平臺的融合系統(tǒng)中，分布式傳感器所獲、在以網(wǎng)絡為平臺的融合系統(tǒng)中，分布式傳感器所獲得的數(shù)據(jù)需要盡可能地在本地處理，這是實現(xiàn)得的數(shù)據(jù)需要盡可能地在本地處理，這是實現(xiàn)DFIDM及時性的第一個重要措施。及時性的第一個重要措施。 2、為保證及時性，還需要通過建立獨立、高速的檢測、為保證及時性，還需要通過建立獨立、高速的檢測網(wǎng)絡或?qū)δ繕司W(wǎng)絡進行限速來實現(xiàn)。網(wǎng)絡或?qū)δ繕司W(wǎng)絡進行限速來實現(xiàn)。二、二、DFIDM的準確性與性能優(yōu)化，

41、需要通過定期測試和的準確性與性能優(yōu)化，需要通過定期測試和調(diào)優(yōu)來加以解決。調(diào)優(yōu)來加以解決。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第九節(jié) 實驗環(huán)境、結(jié)果與性能分析 一、實驗準備：一、實驗準備：實驗環(huán)境為實驗環(huán)境為1個融合中心個融合中心FC（Intel服務器服務器1G），），5個節(jié)點（個節(jié)點（PC賽揚賽揚666），），攻擊數(shù)據(jù)由攻擊數(shù)據(jù)由1臺臺PC賽揚賽揚666提供。提供。為了既驗證為了既驗證DFIDM機制的有效性，又易于操作，機制的有效性，又易于操作，實驗中下載了五種開放源碼的入侵檢測系統(tǒng)，實驗中下載了五種開放源碼的入侵檢測系統(tǒng)，分別是分別是snort（版

42、本（版本1.7）、）、PSAD （版本（版本1.2）、）、Bro（版本（版本0.7）、）、preclude（版本（版本0.7）、）、IDES（版本（版本0.4）。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第九節(jié) 實驗環(huán)境、結(jié)果與性能分析1 1、漏報率的比較實驗：、漏報率的比較實驗：為測試為測試DFIDMDFIDM的漏報率，選擇了的漏報率，選擇了5 5種入侵類型。種入侵類型。分別對同時攻擊類型為分別對同時攻擊類型為1 1、3 3、5 5的情況進行的情況進行3 3組實驗，組實驗，每組實驗分別進行了每組實驗分別進行了10001000次，得出次，得出3 3組數(shù)據(jù)

43、，這些組數(shù)據(jù)，這些數(shù)據(jù)為融合后的結(jié)果數(shù)據(jù)為融合后的結(jié)果 。以。以0.50.5為閾值，判斷其檢為閾值，判斷其檢測結(jié)果是否正確，正確記為測結(jié)果是否正確，正確記為1 1，否則為，否則為0 0。最后對每。最后對每組實驗中同一入侵類型，計算所有樣本數(shù)據(jù)之和的組實驗中同一入侵類型，計算所有樣本數(shù)據(jù)之和的算術平均值算術平均值e e，得到，得到DFIDMDFIDM漏報率的平均值漏報率的平均值1 1e e。此。此后，對后，對snortsnort和和BroBro同樣進行上述同樣進行上述3 3組實驗，各組實驗，各10001000次，采用同樣方法得到其漏報率，并列表比較。次，采用同樣方法得到其漏報率，并列表比較。j第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第九節(jié) 實驗環(huán)境、結(jié)果與性能分析漏報率的比較數(shù)據(jù)如下表漏報率的比較數(shù)據(jù)如下表2.12.1：(1)(1)、同時攻擊種類為、同時攻擊種類為1 1時：時：攻擊類攻擊類型型攻擊實現(xiàn)工攻擊實現(xiàn)工具具漏報率（）漏報率（）SnortBro DFIDMTCP FloodTFN4.13.70.9表2.1 攻擊種類為1時的結(jié)果比較第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第二章基于多傳感器數(shù)據(jù)融合的入侵檢測技術第九節(jié) 實驗環(huán)境、結(jié)果與性能分析(2)(2)、同時攻擊種類為、同時攻擊種類為3 3時：時： 攻擊類型攻擊類