基于數(shù)據(jù)融合技術(shù)的分布式入侵檢測(cè)系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著Internet的飛速發(fā)展,互聯(lián)網(wǎng)所面對(duì)的和隱藏的安全威脅越來越復(fù)雜,越來越嚴(yán)重。作為網(wǎng)絡(luò)安全的一個(gè)重要組件,入侵檢測(cè)系統(tǒng)將發(fā)揮著越來越重要的作用。但是現(xiàn)有的大多數(shù)入侵檢測(cè)系統(tǒng)仍然存在誤報(bào)、漏報(bào)率高的缺陷。
　　數(shù)據(jù)融合是一種多層次、多方面的處理過程,它對(duì)多源數(shù)據(jù)進(jìn)行檢測(cè)、相關(guān)、估計(jì)和組合以達(dá)到精確的狀態(tài)估計(jì)和身份估計(jì)及完整、及時(shí)的態(tài)勢(shì)和威脅評(píng)估。本文將數(shù)據(jù)融合技術(shù)應(yīng)用于分布式入侵檢測(cè)系統(tǒng),構(gòu)建了一種新的基于數(shù)據(jù)融合技術(shù)的樹型

2、分布式入侵檢測(cè)系統(tǒng)模型,它能有效地降低誤報(bào)、漏報(bào)率,而且有較好的自適應(yīng)性和擴(kuò)展性,能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的發(fā)展。同時(shí),整個(gè)系統(tǒng)可以完全在windows下實(shí)現(xiàn),方便了管理員和用戶的使用。
　　在系統(tǒng)低層上,本文使用并改進(jìn)了基于警報(bào)數(shù)據(jù)融合的過濾算法,用中間管理控制代理收集并統(tǒng)計(jì)分析局部檢測(cè)代理警報(bào),產(chǎn)生并自動(dòng)更新過濾規(guī)則,局部代理依據(jù)這些過濾規(guī)則可以濾除大量誤報(bào)。改進(jìn)的過濾算法加快了過濾規(guī)則的更新,能夠更好更準(zhǔn)地濾除當(dāng)前出現(xiàn)的誤報(bào)。

3、高層上,應(yīng)用D-S證據(jù)理論融合所有局部代理檢測(cè)結(jié)果,并在此基礎(chǔ)上,將檢測(cè)分為幾個(gè)周期,進(jìn)一步融合不同周期的檢測(cè)結(jié)果,得出一個(gè)更優(yōu)的全局檢測(cè)結(jié)果。局部決策空間融合結(jié)合了主機(jī)代理和網(wǎng)絡(luò)代理檢測(cè)方面的優(yōu)勢(shì),克服了單一檢測(cè)的缺點(diǎn);不同周期融合進(jìn)一步降低了識(shí)別目標(biāo)的不確定性,提高了系統(tǒng)檢測(cè)率。
　　系統(tǒng)在初步實(shí)驗(yàn)中采用了MIT林肯實(shí)驗(yàn)室數(shù)據(jù)集DARPA1999部分?jǐn)?shù)據(jù)作為檢測(cè)數(shù)據(jù)源。實(shí)驗(yàn)結(jié)果表明,系統(tǒng)對(duì)DoS攻擊的檢測(cè)率可以達(dá)到69％,單一