电子科技大学计算机入侵检测技术2..ppt

计算机入侵检测技术 —基于多传感器数据融合的入侵检测技术 第二章 基于多传感器数据融合的入侵检测技术 第一节 引言 下一代的IDS需要通过各种异质的分布式网络传感器来获取并融合数据，以形成对网络系统的态势估计。 这样的IDS用到了多传感器数据融合技术，其概念最早出现于20世纪70年代的军事领域，具有较强的军事特色它已成功应用于军事和民用的诸多方面。 定义2.1数据融合（Data Fusion）：是一个多级多侧面的加工过程，包括对多个数据源的数据和信息的自动化检测、互联、相关、估计和组合处理。 第一节 引言 本章的主要内容包括： 1、提出了一种新型基于多传感器数据融合的网络入侵检测机制DFIDM； 2、结合数据融合技术中的分布式多传感器系统，分别针对单目标和多目标的情况进行理论分析，提出了数据融合技术能较大程度提高入侵检测系统的有效性和准确性的理论依据； 3、基于理论分析得出的依据，详细讨论DFIDM机制的设计与实现； 4、研究DFIDM机制中数据校准、实时性保证等其它一些重要问题； 5、对该机制进行了实验验证和性能分析； 第二节 数据融合技术的理论依据 一、数据融合技术的意义 1、提高系统稳定性：即使某些传感器失效、受到干扰或无法覆盖事件和目标的全体时，仍有传感器可以提供信息； 2、扩大观测在空间和时间上的覆盖范围：利用多个传感器，可以在不同时间和视点上观测同一目标，扩大了系统检测的时空范围； 3、增加对象的信息量：由于采用了不同种类的、在时空上分布的传感器，可以在不同层面上获取对象更多的互补信息； 4、增加信息的准确性； 5、提高决策的准确性。 第二节 数据融合技术的理论依据 二、融合系统的功能模块 从整体框架上看，一个融合系统的主要功能模块包括：传感器及其管理模块、数据管理模块、信息优化融合模块和数据传输通道。 三、融合系统的基本结构 根据多传感器系统中观测、决策和融合的关系，大体上可分为集中式和分布式两种基本结构。 三、融合系统的基本结构 1、 集中式结构中，各传感器对目标进行观测所得到的原始数据全部送到融合中心FC（Fusion Center），由融合中心完成对数据的各种处理，然后做出最终决策。 三、融合系统的基本结构 2、分布式结构分为以下三种 （1）并行结构对信道带宽与融合中心处理能力的要求较低，本章的DFIDM就采用这种结构。 三、融合系统的基本结构 （2）串行分布式融合系统。第一个检测器，其余每个检测器在接收自己的观测数据之外，还能获得上一个检测器的决策，融合后的最终结果由最后一个检测器输出。串行结构在链路发生故障时会导致整个系统都会受到影响，故应用场合比并行结构少 三、融合系统的基本结构 （3）网络分布式融合系统。第0层的各个检测器接收自己的观测矢量并做出决策，形成第1层输入矢量。从第1层到第k层为中间融合层，第k＋1层为最终融合层。这种多层决策融合网络可以实现比单纯并行或串行更优的功能，但会大大增加系统的开销。 四、分布式检测与决策融合的概念模型 由传感器、决策器和融合中心组成，其模型如下图。 四、分布式检测与决策融合的概念模型 a、先给出其概念模型：设有 个假设（Hypothesis）： ， ，…， （对于二元假设为，可表示入侵行为的有或无） b、设有n个检测器，每个检测器DM（Decision Maker）由传感器（Sensor）和决策器组成。第i个检测器对目标的观测矢量为 = ， i=1,2,…,n ，每个检测器DM根据其目标观测矢量 ，按一定方法和准则做出相应本地决策 = C、该模型仅对检测一种入侵行为有效，称为“单目标多传感器二元融合系统”；当系统需要同时对多种入侵行为进行检测，则需要对该模型进行扩展，称为“多目标多传感器二元融合系统”。 五、通过多传感器提高系统准确性的几个结论 结论一：在适当的融合策略方式下，多传感器融合之后的条件熵不大于单传感器的条件熵，即多传感器系统的融合输出可以获得更小的不确定度。 结论二：当观测信息相关性最小，也即它们相互独立时，融合系统对输出不准确性的压缩能力（Compress Ability）最大。为此，在系统中各传感器之间应相互无关，互不干扰。 结论三：融合系统的性能还取决于是否最大程度的提取了系统的先验信息，即系统的融合性能与各检测器的自身性能密切相关。 第三节 单目标多传感器二元融合系统 系统模型图如下： 第三节 单目标多传感器二元融合系统 a、设二元假设： 表示不存在目标， 表示存在目标，它们的先验概率分别为 和 。各检测器 将各自决策 和决策水平 与 传递到融合中心，融