基于证据推理算法入侵检测系统.docVIP

基于证据推理算法入侵检测系统 　　摘要：数据融合算法是入侵检测系统设计的核心内容，对于“不知道”与”不确定”信息的处理，证据推理算法具有十分突出的特点，已成为数据融合算法的热点。为了避免焦元爆炸问题，该文采用一种可有效减少证据合成计算量又可确保合成实时性准确性数据融合算法。为了解决分布式系统中主控端与各入侵检测终端之间的通信问题，引入分布式协同算法，并在此基础上，设计一种分布式入侵检测系统。 　　关键词：数据融合；入侵检测；证据推理；分布式协同算法 　　中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）28-0032-03 　　入侵检测系统是一种积极主动的安全防护机制，不仅能够防御对来自外网入侵攻击，还能有效地防止内网的攻击和机密信息的泄漏，入侵检测系统有效地提高网络安全的整体水平，它已经成为网络信息安全领域的研究热点。 　　1 概述 　　论据推理理论是入侵检测系统中应用最为广泛的数据融合算法，已成为一种最适合的不确定推理方法。它不需要任何先验的概率，直接利用区间信度刻画证据度量和命题结果，处理“不确定”与“不知道”的信息，约束条件宽松，与经典的概率论、贝叶斯理论有着本质的区别。尽管如此，若入侵检测技术采用传统的证据理论进行数据融合计算，在网络环境各种干扰和噪声的影响下，系统中攻击行为、入侵事件与恶意企图等网络入侵目标的识别能力急剧下降，漏报率和误报率增加，因此，需要改进传统的证据理论，使其适合网络入侵检测技术。 　　2 证据合成算法的研究与改进 　　在入侵检测系统中，对于各子系统上报的可疑行为，需要对来自各个多个信息源的数据进行关联、估计和组合等处理，从而进行识别判断。证据理论就是用于数据融合的算法之一。 　　2.1 D-S证据理论 　　证据推理是由Dempster首先提出的，并由Shafer进一步完善发展起来的，所以又称作Dempster-Shafer证据理论或D-S证据理论。 　　D-S证据推理是从经典的集合论的基础上发展而来的。设Θ为某一的辨别框架非空的集合，且各元素之间满足互斥条件，其所有的子集构成幂集2Θ。则基本信任指派函数可表达为[BPA：mA→0，1]，其中A为幂集2Θ中任一子集，表示证据支持命题A发生的程度[mA] 。 　　上式K表示两个证据体突冲程度的度量，也是描述是否适用证据推理算法的依据。如果K=1，则证据体完全矛盾，D-S融合算法失效；如果K值较小，则证据体是一致的，可以使用归一化处理。 　　实践证明：利用传统的证据合成规则在合成不同证据时出现的计算复杂度问题属于NP完全问题，计算复杂度随识别框架的基数的增加而成指数增加，极大的计算量限制了其应用。 　　2.2 基于D-S证据理论的算法改进 　　（1） 相关函数 　　Dubois和Prade认为证据理论中焦元的基数和焦元的基本概率赋值信息是证据的构成的重要因素，因此，改进算法选择参与融合的焦元的标准不是焦元的基本概率赋值，而是以证据的平均能量函数作为评判的选择标准，平均能量函数可包括证据的焦元能量函数和平均能量函数。 　　（2） 分类规则 　　如果采用焦元能量函?怠⒅ぞ萜骄?能量函数作为合成过程中焦元的分类规则，则可将焦元分为两类： 　　保留焦元（焦元的能量大于或等于证据的平均能量）和抛弃焦元（焦元的能量小于证据的平均能量）。 　　其中，[Nib，Nip，Ni]分别为证据保留焦元集中的焦元（命题）个数、抛弃焦元集中的焦元个数以及证据i所支持的焦元个数。 　　焦元分类规则能够较为精确的区分识别框架Q中所有的证据体须要融合计算的焦元和对组合计算最终抛弃的焦元。即参与组合计算的焦元将精确标出，这样就大大减小了推理合成的计算量，避免焦元爆炸的现象。 　　（3） 算法描述 　　如果被抛弃的焦元中的一些信息如果不参与证据合成计算，那么，可能会使最终决策结果产生偏差，即据证丢失可能影响最终的判决结果。因此，对于抛弃的焦元，需要对其基本概率赋值进行再分配，使抛弃焦元自身携带的有用信息得以有效利用，参与到决策结论的判决过程中。这样，不会因抛弃焦元的有用信息不会损失而使判决结果有较大的偏差。 　　设[Pk]为[SiP]中一焦元，为与之相关的集合，[BG]为[SiB]中与[Pk]相交不为空的焦元组成的集合；如果[SiB]中与[Pk]相交不为空则可判断所抛弃的焦元中含有用的信息理论不会影响结果，因此，只需考虑集合[BG]。对抛弃焦元[Dk]的基本概率赋值再次分配时，只要将抛弃焦元的基本概率赋值分配在有嵌套关系或相交的焦元集上。当抛弃焦元与所有保留焦元相交为空时，将其基本概率赋值分配给未知命题Q。 　　抛弃焦元基本概率赋值重新分配方法如下： 　　（1） 终端T0即主控中心对于所有的入侵检测任务，