基于模糊综合决策计算机入侵检测技术.docVIP

基于模糊综合决策计算机入侵检测技术 　　[摘要]利用模糊综合决策的方法提出一种计算机入侵检测的技术。 　　[关键词]入侵检测 模糊综合决策 　　中图分类号：TP3文献标识码：A文章编号：1671－7597（2009）0320023－01 　　 　　随着社会、经济的不断发展，人们所考虑问题的越来越复杂，越来越具有不确定性，可以看成是人类思维的模糊性在不断增加。有鉴于此，在决策支持过程中作为一类非常重要的信息载体的判断矩阵、决策矩阵，其中计算机入侵检测的模糊性就非常值得我们去加以研究。 　　一、模糊综合决策在入侵检测中的应用 　　先来看一个例子，入侵检测中包含了许多数值属性的特点，如CPU使用时间和连接时间、来自同一源主机的不同TCP/UDP服务数量等，这些都可以看作是潜在的模糊变量；网络安全本身具有模糊性，对于具有数值属性的特征，如果将正常值的取值范围设定为一个区间，则任何在此区间以外的都被视为异常，而不管它们和这个区间的差距有多大。 　　这样的结果会让正常和异常之间产生很明显的界限，导致“尖锐边界问题”（Sharp Boundary Problem），引入模糊概念可以消除这个界限。通过对模糊综合决策与入侵检测特点的分析，人们认为将模糊综合决策应用于入侵检测系统中是必要的。 　　二、模糊互补矩阵排序向量求解算法 　　矩阵运算（判断矩阵）在决策支持中起到至关重要的作用。在本节介绍一种应用于群组决策中的特殊矩阵模糊互补判断矩阵。群组决策是根据每位决策者提供的偏好信息通过某种决策方式，对一组备选方案进行排序，并从中选取最满意方案。在群体决策分析中，决策者通常直接以一定的标度，把感觉数量化并构造判断矩阵（互补、互反矩阵），再利用适当的排序方法求出排序向量。许多专家和学者对模糊互补、互反判断矩阵的性质都进行了深入的研究，互补、互反判断矩阵的排序理论也已逐步研究深入。下面对模糊互补矩阵的排序算法进行研究，并在最后对入侵检测中的一个应用实例进行验证。 　　（一）模糊互补矩阵排序向量的求解方法 　　首先研究模糊一致矩阵的一些性质，然后采用一种将模糊互补矩阵转化为模糊一致矩阵并求解排序向量的方法。在此方法中，引用模糊一致性指标与模糊一致性比率的定义，通过不断调整原有模糊互补矩阵，从而求得与其相以应的模糊一致矩阵，在调优一致性比率的基础上求得对应的模糊一致矩阵和对应的排序向量。 　　（二）算法实现 　　算法实现采用Matlab的M语言编程实现，程序代码见下。 　　1．主程序：fuzzyconmatrix.m 　　R=[输入原始数据]； 　　[n，n]=size(R)； 　　P=tiaozheng(R)；%将模糊互补矩阵R转化为一个模糊一致矩阵R 　　E=R-P； %计算R与P的误差 　　[CR0，F]=conindex(E)； %计算模糊一致性指标CR 　　%判断度量指标CR的值是否0.1，若小于0.1，矩阵R满足要求，若不满足，进行循环，继续调整矩阵R. 　　IfCR00.1 　　[R1P1CR1]=adjust(R，P)； 　　IfCR10.1 　　[R2P2CR2]=adjust(R1I，P1)； 　　Else W=Paixuvector(P1)； 　　end 　　Else W=Paixuvector(P1) 　　2．计算模糊互补矩阵的排序向量w：paixuvector.m 　　Functionw= paixuvector (P) 　　%求解F的排序向量，等同于R的排序向量 　　[n，n]=size(P)； 　　w=zeros(n，1)； 　　fori=l：n 　　w(i)=l/n+l/2-l/n*sum(P(：，i))； 　　end 　　三、实例应用 　　来看一个实例，如图1所示。在一个局域网中，网络拓扑是基于防火墙的典型三区划分，并且设置了一个蜜罐网络（honey pot）用于对入侵者的迷惑与攻击引导。局域网上的分布式入侵检测系统设置了多个传感单元。在某次DDos攻击行为中，三个传感单元接收到不同数据量的拒绝服务攻击数据包并发出报警，这三个传感单元一个位于honey pot的保垒主机上，一个位于DMZ区服务器，一个则设置于内部局域网的网关处。 　　图1网络拓扑示意图 　　Honey pot虚拟了一个C段地址，并虚拟出若干服务（如：web\ftp\mail），攻击者的攻击方向被较多地引导至此虚拟网络处。在DMZ区的某台Mysql服务器也被攻击者探明，并对相应服务端口加以阻塞。同时，内部局域网的网关也接收到很多试探攻击的数据包。那么，现在如何评判此次DDos攻击的行为，以及危害性？ 　　从关系上分析，honey pot作为目标靶区，承载的服务重要性不如DMZ区