基于信息融合技术的入侵检测系统的研究.pdfVIP

( ) 第 35卷 2007 第 10期 　　　　　　　　　　　　　　计算机与数字工程 　　 　　　　　　　　　　　 63 基于信息融合技术的入侵检测系统的研究 张天乐 　廉飞宇 　张 　元 ( ) 河南工业大学信息科学与工程学院　郑州 　450052 摘 　要 　研究在入侵检测中 ,采用信息融合的方法 ,试图解决当前入侵检测系统误报率高和漏检率高的问题 。提出用 于入侵检测的信息融合模型 ,并应用贝叶斯网络给出信息融合的方法 。采用和挑选 DARPA2000 中的数据作为样本 ,通过 实验验证 ,基于信息融合技术的入侵检测方法能够提高检测率 ,降低误报率 。 关键词 　入侵检测 　信息融合 　贝叶斯网络 　博弈 中图分类号 　TP39 1 目标或 目标事件的评估 。 1　引言 入侵检测系统一般包括传感器 、分析器和用户 随着互联网络的开放性、共享性和互连程度的扩 接口。通过分析入侵检测系统的构成发现 ,入侵检 大 ,网络的重要性和对社会的影响也越来越大。网络 测系统完全可以看作是一个信息融合过程 ,当然也 上各种新业务的兴起 ,比如 , 电子商务、电子现金和网 就可以用信息融合理论来解决其存在的问题 。 络银行等 ,以及各种专用网的建设 ,使得网络与信息 信息融合技术虽然融合算法很多 ,发展很快 ,但 系统的安全与保密问题越来越重要 ,网络安全正日益 还没有形成基本理论框架和有效广义模型及算法 。 成为国内外网络计算机专家们研究的焦点[ 1] 。 近年来 ,有人将博弈论的思想应用于信息融合 由于网络上入侵行为的不断扩大 ,网络专家对 技术中 ,致力于解决信息融合过程中多源信息的冲 入侵监测系统进行了深入的研究 , 目前已有很多商 突与合作问题 ,试图建立一个通用的信息融合理论 用和非商用的入侵监测系统 ,但是入侵同样在发 框架和模型算法 。 展 ,入侵监测系统还存在以下问题 ,例如 ,误报和漏 在我们的研究中将借用这种思想 ,因为在入侵 报现象严重 ;无法准确发现针对多目标的空间上分 检测系统中 ,传感器收集到的信息必定有冗余信 散的同源攻击 ;缺少防御功能 ;无法准确检测时间 息 ,这些信息是冲突的 ,也会有合作信息 。这些信 上分散的分步骤复杂攻击 。 息合作共同确定一个事件的发生 ,如何处理冲突与 产生这些问题的原因是现有的入侵检测系统 合作的信息 ,我们将采用基于博弈思想的信息融合 往往是根据单一的检测手段来获得信息 ,这些可能 技术来解决 。实践证明这种方法可以很好地处理 是不完善的 ,也可能是不正确的。 通过我们的研究发现 ,相对于网络入侵的复杂 在入侵检测中信息的冲突与合作 。 行为 ,如果综合应用多种检测手段获得同一对象的