基于数据融合和数据挖掘的ＤＩＤＳ设计.docVIP

基于数据融合和数据挖掘的ＤＩＤＳ设计 　　摘要：本文介绍了分布式入侵检测系统的重要性和现有分布式入侵检测系统的局限性，提出了一种基于数据融合和数据挖掘的分布式入侵检测系统模型（DIDSFM），叙述了数据融合和数据挖掘应用于分布式入侵系统的意义，并详细说明了系统的体系结构和工作原理。 　　关键词：入侵检测系统；数据融合；数据挖掘；分布式 　　中图分类号：TP312文献标识码：A文章编号：1009-3044(2008)24-1106-02 　　Design of DIDS Based on Data Fusion and Data Mining 　　HU Zhong-dong,SHI Hai-ping,ZENG Zhi-yong 　　(College of Information Engineering,Jiangxi University of Science and Technology,Ganzhou 341000,China) 　　Abstract:This paper introduce the importance of distributed intrusion detection as well as limitation of present distributed intrusion detection,The paper provides a new model for the intrusion detection system based on data fusion and data mining(DIDSFM),explains the use of data fusion and data mining technology in distributed intrusion detection,and formulate the systems architecture,principle. 　　Key words: intrusion detection system;data fusion;data mining;distribution 　　 　　1 引言 　　 　　随着计算机网络特别是国际互联网的不断发展，经济、信息的全球化已成为人类发展的大趋势，而网络系统结构也日益复杂化和大型化，系统的弱点和漏洞日趋向于分布式，同时攻击者技术也日趋成熟，尤其协作式入侵行为的出现，传统的集中式入侵检测系统已很难满足当前的需要，因此有必要将检测分析过程也实现分布，分布式入侵检测系统（Distributed Intrusion Detection System，DIDS）在入侵检测体系结构基本框架上引入了分层次过滤、分布处理、分层管理等思想，将多个类似单传感器的探头或代理分布在网络中的各个关键点上，通过一定的体系结构，相互协作形成一个有机整体，从而能够得到和了解网络整体的安全状况，并进行检测和报警，有效缓解了上述问题，因此，研究分布式入侵检测系统是十分有必要的[1-2]。 　　 　　2 现有分布式入侵检测系统的局限性 　　 　　分布式入侵检测系统是是一种分布于网络环境的入侵检测系统，用于监视与网络相连的主机及网络自身，综合运用基于主机和网络的检测技术，从网络的不同节点检测恶意攻击行为，通过相互协作提高入侵检测能力。目前现有的分布式入侵检测系统主要存在以下缺点： 　　1) 告警洪流：多种类型、多点分布的传感器，使分布式IDS产生大量的数据，在一些情况下很容易产生大量相似的警报，造成警报洪流。有效管理这些数据是一个具有挑战性的问题； 　　2) 高误报率问题：目前IDS的误报率有可能高达90%以上，这些误报将耗费管理员的大量精力，常常使其失去了对真实警报的敏感性； 　　3) 告警关联性和自适应性差：目前大多数分布式IDS只是在数据采集上实现了分布式，数据的分析、入侵的发现以及管理等还是由单个程序完成，这样的结构缺乏对整个安全态势的全面知情;缺少应对复杂的分布式攻击的手段；系统缺乏灵活性和可配置性等缺点，而且目前大多数分布式IDS主要依靠管理员手工分析编码和编写检测规则，致使其扩展性和适应性难以满足新的安全需求。 　　数据融合技术和数据挖掘技术为分布式IDS解决上述问题提供了一个重要的技术途径，数据融合是一个多级别、多层次的处理过程，它能对多源异质数据和信息进行检测、互联、相关、估计和综合以得到精确的状态估计和属性估计，以及完整和及时的态势评估和威胁估计，将数据融合技术应用于分布式入侵检测系统，把多个异质分布式传感器处的各种数据和信息综合输入到一个统一的处理过程，来评估整个网络环境的安全性能，增强了告警关联性，减少了告警洪流，降低了误报率。数据挖掘是从大量的、不完全的、有噪声的、