電子科技大學(xué) 計(jì)算機(jī)入侵檢測(cè)技術(shù)2

1、第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)計(jì)算機(jī)入侵檢測(cè)技術(shù)基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章 基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù) 第一節(jié) 引言 下一代的IDS需要通過(guò)各種異質(zhì)的分布式網(wǎng)絡(luò)傳感器來(lái)獲取并融合數(shù)據(jù)，以形成對(duì)網(wǎng)絡(luò)系統(tǒng)的態(tài)勢(shì)估計(jì)。 這樣的IDS用到了多傳感器數(shù)據(jù)融合技術(shù)，其概念最早出現(xiàn)于20世紀(jì)70年代的軍事領(lǐng)域，具有較強(qiáng)的軍事特色它已成功應(yīng)用于軍事和民用的諸多方面。定義定義2.1數(shù)據(jù)融合（Data Fusion）：是一個(gè)多級(jí)多

2、側(cè)面的加工過(guò)程，包括對(duì)多個(gè)數(shù)據(jù)源的數(shù)據(jù)和信息的自動(dòng)化檢測(cè)、互聯(lián)、相關(guān)、估計(jì)和組合處理。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第一節(jié) 引言本章的主要內(nèi)容包括：1、提出了一種新型基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)入侵檢測(cè)機(jī)制DFIDM；2、結(jié)合數(shù)據(jù)融合技術(shù)中的分布式多傳感器系統(tǒng)，分別針對(duì)單目標(biāo)和多目標(biāo)的情況進(jìn)行理論分析，提出了數(shù)據(jù)融合技術(shù)能較大程度提高入侵檢測(cè)系統(tǒng)的有效性和準(zhǔn)確性的理論依據(jù)；3、基于理論分析得出的依據(jù)，詳細(xì)討論DFIDM機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)；4、研究DFIDM機(jī)制中數(shù)據(jù)校準(zhǔn)、實(shí)時(shí)性保證等其它一些重要問(wèn)題；5、對(duì)該機(jī)制進(jìn)行了實(shí)驗(yàn)驗(yàn)證和性能分析；第二章基

3、于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二節(jié) 數(shù)據(jù)融合技術(shù)的理論依據(jù) 一、數(shù)據(jù)融合技術(shù)的意義一、數(shù)據(jù)融合技術(shù)的意義1、提高系統(tǒng)穩(wěn)定性：即使某些傳感器失效、受到干擾或無(wú)法覆蓋事件和目標(biāo)的全體時(shí)，仍有傳感器可以提供信息；2、擴(kuò)大觀測(cè)在空間和時(shí)間上的覆蓋范圍：利用多個(gè)傳感器，可以在不同時(shí)間和視點(diǎn)上觀測(cè)同一目標(biāo)，擴(kuò)大了系統(tǒng)檢測(cè)的時(shí)空范圍；3、增加對(duì)象的信息量：由于采用了不同種類(lèi)的、在時(shí)空上分布的傳感器，可以在不同層面上獲取對(duì)象更多的互補(bǔ)信息；4、增加信息的準(zhǔn)確性；5、提高決策的準(zhǔn)確性。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二

4、節(jié) 數(shù)據(jù)融合技術(shù)的理論依據(jù)二、融合系統(tǒng)的功能模塊二、融合系統(tǒng)的功能模塊從整體框架上看，一個(gè)融合系統(tǒng)的主要功能模塊包括：傳感器及其管理模塊、數(shù)據(jù)管理模塊、信息優(yōu)化融合模塊和數(shù)據(jù)傳輸通道。三、融合系統(tǒng)的基本結(jié)構(gòu)三、融合系統(tǒng)的基本結(jié)構(gòu)根據(jù)多傳感器系統(tǒng)中觀測(cè)、決策和融合的關(guān)系，大體上可分為集中式和分布式兩種基本結(jié)構(gòu)。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、融合系統(tǒng)的基本結(jié)構(gòu)1、 集中式結(jié)構(gòu)中，各傳感器對(duì)目標(biāo)進(jìn)行觀測(cè)所得到的原始數(shù)據(jù)全部送到融合中心FC（Fusion Center），由融合中心完成對(duì)數(shù)據(jù)的各種處理，然后做出最終決策。觀測(cè)器1觀測(cè)器2觀測(cè)器n融

5、合中心最終決策.圖2.1集中式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、融合系統(tǒng)的基本結(jié)構(gòu)2、分布式結(jié)構(gòu)分為以下三種（1）并行結(jié)構(gòu)對(duì)信道帶寬與融合中心處理能力的要求較低，本章的DFIDM就采用這種結(jié)構(gòu)。本地決策1融合中心最終決策.檢測(cè)器1檢測(cè)器1檢測(cè)器1本地決策2本地決策3圖2.2并行分布式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、融合系統(tǒng)的基本結(jié)構(gòu)（2）串行分布式融合系統(tǒng)。第一個(gè)檢測(cè)器，其余每個(gè)檢測(cè)器在接收自己的觀測(cè)數(shù)據(jù)之外，還能獲得上一個(gè)檢測(cè)器的決策，融合后的最終結(jié)果由最后一個(gè)檢測(cè)器輸出。串

6、行結(jié)構(gòu)在鏈路發(fā)生故障時(shí)會(huì)導(dǎo)致整個(gè)系統(tǒng)都會(huì)受到影響，故應(yīng)用場(chǎng)合比并行結(jié)構(gòu)少檢測(cè)器1檢測(cè)器n檢測(cè)器2觀測(cè)1 觀測(cè)2 觀測(cè)n 本地決策1本地決策2.本地決策n最終決策圖2.3 串行分布式融合系統(tǒng) 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、融合系統(tǒng)的基本結(jié)構(gòu)（3）網(wǎng)絡(luò)分布式融合系統(tǒng)。第0層的各個(gè)檢測(cè)器接收自己的觀測(cè)矢量并做出決策，形成第1層輸入矢量。從第1層到第k層為中間融合層，第k1層為最終融合層。這種多層決策融合網(wǎng)絡(luò)可以實(shí)現(xiàn)比單純并行或串行更優(yōu)的功能，但會(huì)大大增加系統(tǒng)的開(kāi)銷(xiāo)。本地決策1本地決策n本地決策2融合1，1融合1，2融合1，n1融合k，i融合k，1

7、融合k，nk融合k1，nk.第0層第1層第k層第k1層.圖2.4 網(wǎng)絡(luò)分布式融合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、分布式檢測(cè)與決策融合的概念模型由傳感器、決策器和融合中心組成，其模型如下圖。圖 2.5 單目標(biāo)并行分布式檢測(cè)與決策融合系統(tǒng)入侵行為u. .u1unu2決策器g2決策器gn傳感器2傳感器nu2融合中心（FC）檢測(cè)器（DM）g傳感器1決策器g1第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、分布式檢測(cè)與決策融合的概念模型a、先給出其概念模型：設(shè)有 個(gè)假設(shè)（Hypothesis）： ， ， （對(duì)于二

8、元假設(shè)為，可表示入侵行為的有或無(wú)） b、設(shè)有n個(gè)檢測(cè)器，每個(gè)檢測(cè)器DM（Decision Maker）由傳感器（Sensor）和決策器組成。第i個(gè)檢測(cè)器對(duì)目標(biāo)的觀測(cè)矢量為 = ， i=1,2,n ，每個(gè)檢測(cè)器DM根據(jù)其目標(biāo)觀測(cè)矢量 ，按一定方法和準(zhǔn)則做出相應(yīng)本地決策 =C、該模型僅對(duì)檢測(cè)一種入侵行為有效，稱(chēng)為“單目標(biāo)多傳感器二元融合系統(tǒng)”；當(dāng)系統(tǒng)需要同時(shí)對(duì)多種入侵行為進(jìn)行檢測(cè)，則需要對(duì)該模型進(jìn)行擴(kuò)展，稱(chēng)為“多目標(biāo)多傳感器二元融合系統(tǒng)”。m2Hixif（H） iu)(iixg ixmH2H第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)五、通過(guò)多傳感器提高系統(tǒng)準(zhǔn)確

9、性的幾個(gè)結(jié)論結(jié)論一結(jié)論一：在適當(dāng)?shù)娜诤喜呗苑绞较拢鄠鞲衅魅诤现蟮臈l件熵不大于單傳感器的條件熵，即多傳感器系統(tǒng)的融合輸出可以獲得更小的不確定度。結(jié)論二結(jié)論二：當(dāng)觀測(cè)信息相關(guān)性最小，也即它們相互獨(dú)立時(shí) ， 融 合 系 統(tǒng) 對(duì) 輸 出 不 準(zhǔn) 確 性 的 壓 縮 能 力（Compress Ability）最大。為此，在系統(tǒng)中各傳感器之間應(yīng)相互無(wú)關(guān)，互不干擾。結(jié)論三結(jié)論三：融合系統(tǒng)的性能還取決于是否最大程度的提取了系統(tǒng)的先驗(yàn)信息，即系統(tǒng)的融合性能與各檢測(cè)器的自身性能密切相關(guān)。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第三節(jié) 單目標(biāo)多傳感器二元融合系統(tǒng) 系統(tǒng)模型

10、圖如下：u檢測(cè)器融合中心決策器 g1決策器 g2決策器 gn傳感器 1傳感器 2傳感器 nU2g入侵類(lèi)型（ H ,0）H1U1Un圖2.6 單目標(biāo)、二元并行分布式融合系統(tǒng) 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第三節(jié) 單目標(biāo)多傳感器二元融合系統(tǒng)a、設(shè)二元假設(shè)： 表示不存在目標(biāo)， 表示存在目標(biāo)，它們的先驗(yàn)概率分別為 和 。各檢測(cè)器 將各自決策 和決策水平 與 傳遞到融合中心，融合中心基于這些本地決策作出最后的決策 。b、通過(guò)推導(dǎo)可得最終融合可靠性函數(shù)：niiiauauL10) 12()(0H1H00)(PHP11)(PHPiDMiuFiPMiPu第二章基

11、于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第三節(jié) 單目標(biāo)多傳感器二元融合系統(tǒng)結(jié)論四結(jié)論四：對(duì)于單目標(biāo)二元的多傳感器融合系統(tǒng)，a、融合后的最終可靠性由被檢測(cè)目標(biāo)的先驗(yàn)概率、各檢測(cè)器的虛警概率和漏報(bào)概率所決定，可表達(dá)為以上函數(shù)關(guān)系；b、由于 各不相同，各檢測(cè)器會(huì)對(duì)最終決策產(chǎn)生不同程度的影響。虛警率和漏報(bào)率越小的檢測(cè)器對(duì)最終決策的影響越大；c、為保證融合公式中 的準(zhǔn)確性，在系統(tǒng)運(yùn)行前和運(yùn)行過(guò)程中，都應(yīng)進(jìn)行統(tǒng)一的功能測(cè)試；iaia第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第三節(jié) 單目標(biāo)多傳感器二元融合系統(tǒng)d、在得到最終融合可靠性系數(shù)后

12、，系統(tǒng)還需要提供閾值和判決函數(shù)來(lái)得出最終的判決結(jié)果，可表示如下：目標(biāo)存在：目標(biāo)不存在，若，若10)(1)(0)(HHAuLAuLuLf第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第四節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng) 在實(shí)際應(yīng)用場(chǎng)合下，如果需要對(duì)同時(shí)發(fā)生的多種入侵行為進(jìn)行判斷，可將其擴(kuò)展為多目標(biāo)多傳感器二元融合系統(tǒng)。其系統(tǒng)模型圖如下：(u)檢測(cè)器融合中心決策器 g1決策器 g2決策器 gn傳感器 1傳感器 2傳感器 n(U2)g入侵類(lèi)型1（ H ,0）H1 入侵類(lèi)型2（ H ,0）H1入侵類(lèi)型m（ H ,0）H1(U1)(Un)圖2.7 多目標(biāo)、二元并行分布式融

13、合系統(tǒng)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第四節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng)一、基本思路：將多目標(biāo)多傳感器二元融合系統(tǒng)的問(wèn)題，轉(zhuǎn)化為m個(gè)單目標(biāo)多傳感器二元融合系統(tǒng)的問(wèn)題。二、系統(tǒng)所檢測(cè)的目標(biāo)是二元目標(biāo)，每個(gè)目標(biāo)代表了一種已知入侵類(lèi)型，每個(gè)類(lèi)型的二元假設(shè)分別代表了該入侵類(lèi)型的發(fā)生與否，n個(gè)檢測(cè)器仍然通過(guò)分布式結(jié)構(gòu)對(duì)多個(gè)目標(biāo)進(jìn)行檢測(cè)。三、依據(jù)：從系統(tǒng)的設(shè)計(jì)目標(biāo)來(lái)看，并不需要在檢測(cè)過(guò)程中建立不同入侵類(lèi)型之間的關(guān)聯(lián)，因而以上方法是符合設(shè)計(jì)要求的。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第四節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng)

14、四、數(shù)據(jù)結(jié)構(gòu)的變化：1、本地檢測(cè)為向量，對(duì)于檢測(cè)器i的本地決策可表示如下，一般地， 表示檢測(cè)器 對(duì)攻擊類(lèi)型 的檢測(cè)結(jié)果。 2、本地決策經(jīng)過(guò)融合中心處理后得到的最終融合結(jié)果 ，也是一個(gè)與 表達(dá)方式相同的向量。3、在融合中心進(jìn)行數(shù)據(jù)融合的過(guò)程中，數(shù)據(jù)樣本并非向量而是一個(gè)mn的矩陣。jAij)(u)(iumA.01第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第五節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng) DFIDM的層次模型和功能布局如圖2.8所示 最終決策TA（威脅估價(jià)）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡(luò)原始數(shù)據(jù)管理策略O(shè)R（對(duì)象提取模塊）圖2.8 DFIDM的

15、層次和功能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第五節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng)一、按整個(gè)系統(tǒng)的功能劃分為一、按整個(gè)系統(tǒng)的功能劃分為5 5個(gè)層次個(gè)層次：1、首先通過(guò)遍布系統(tǒng)各處的分布式傳感器獲取原始數(shù)據(jù)；2、原始數(shù)據(jù)經(jīng)過(guò)校準(zhǔn)過(guò)濾后填寫(xiě)標(biāo)準(zhǔn)的原始數(shù)據(jù)記錄庫(kù)，并形成相關(guān)對(duì)象；3、對(duì)象提取在時(shí)間（或空間）上相關(guān)聯(lián)，其數(shù)據(jù)按統(tǒng)一標(biāo)準(zhǔn)關(guān)聯(lián)、配對(duì)、分類(lèi)，形成一個(gè)基于對(duì)象的集合；4、利用融合決策算法，對(duì)狀態(tài)進(jìn)行提取以形成對(duì)入侵行為的威脅評(píng)估；5、根據(jù)威脅評(píng)估進(jìn)行最終決策；6、在以上層次結(jié)構(gòu)以外，管理策略獨(dú)立存在并管理、維護(hù)整個(gè)系統(tǒng)。第二章基于多傳感器數(shù)據(jù)融合的

16、入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第五節(jié) 多目標(biāo)多傳感器二元融合系統(tǒng)二、各部分功能說(shuō)明二、各部分功能說(shuō)明 1、分布式傳感器DS（Distributing Sensors）布置在系統(tǒng)的各個(gè)部分，主要分為兩類(lèi)，即基于主機(jī)的傳感器和基于網(wǎng)絡(luò)的傳感器，這些傳感器用來(lái)獲取來(lái)自網(wǎng)絡(luò)或者主機(jī)的原始數(shù)據(jù)；2、數(shù)據(jù)提取模塊DR（Data Refinement）應(yīng)布置于傳感器本地，以便于提高效率； 最終決策TA（威脅估價(jià)）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡(luò)原始數(shù)據(jù)管理策略O(shè)R（對(duì)象提取模塊）圖2.8 DFIDM的層次和功能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器

17、數(shù)據(jù)融合的入侵檢測(cè)技術(shù)二、各部分功能說(shuō)明3、為保證檢測(cè)的實(shí)時(shí)性，傳感器網(wǎng)絡(luò)必須比被保護(hù)的目標(biāo)網(wǎng)絡(luò)快，這樣才能及時(shí)做出分析和響應(yīng)，關(guān)于保證該系統(tǒng)檢測(cè)功能的實(shí)時(shí)性問(wèn)題，本章將在后面詳細(xì)討論；4、對(duì)象提取OR（Object Refinement）和威脅估價(jià)TA（Threat Assessment）兩個(gè)模塊可一同布置于融合中心FS（Fusion Center）。這有利于對(duì)象提取時(shí)，通過(guò)配準(zhǔn)形成一個(gè)基于對(duì)象的聚集的集合，同時(shí)也有利于狀態(tài)提取和威脅評(píng)估時(shí)的數(shù)據(jù)集中處理； 最終決策TA（威脅估價(jià)）DR（數(shù)據(jù)提取模塊）DS（分布式傳感器） 網(wǎng)絡(luò)原始數(shù)據(jù)管理策略O(shè)R（對(duì)象提取模塊）圖2.8 DFIDM的層次和功

18、能模型第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第六節(jié) DFIDM的數(shù)據(jù)與對(duì)象提取 一、入侵行為的表示與存儲(chǔ)一、入侵行為的表示與存儲(chǔ)在在DFIDM中選擇類(lèi)似于中選擇類(lèi)似于SNMP MIB（Management Information Binary）的結(jié)構(gòu)來(lái)分類(lèi)存貯各類(lèi)入侵行）的結(jié)構(gòu)來(lái)分類(lèi)存貯各類(lèi)入侵行為，稱(chēng)之為入侵規(guī)則數(shù)據(jù)庫(kù)，或規(guī)則樹(shù)，如圖為，稱(chēng)之為入侵規(guī)則數(shù)據(jù)庫(kù)，或規(guī)則樹(shù)，如圖2.9。TCP/IP 1Hardware1.1Network1.2Transport1.3Application1.4Transport 1.3TCP1.3.1UDP1.3.2IC

19、MP1.3.3n1.3.nTCP 1.3.1SYN1.3.1.1SEQ1.3.1.2XXX1.3.1.3n1.3.1.n圖2.9 規(guī)則樹(shù)示意圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第六節(jié) DFIDM的數(shù)據(jù)與對(duì)象提取二、分布式傳感器二、分布式傳感器DSDS（Distributing SensorsDistributing Sensors）DSDS布置在系統(tǒng)的各個(gè)部分來(lái)獲取原始數(shù)據(jù)，其輸出應(yīng)布置在系統(tǒng)的各個(gè)部分來(lái)獲取原始數(shù)據(jù)，其輸出應(yīng)該是完整的網(wǎng)絡(luò)原始數(shù)據(jù)樣本。該是完整的網(wǎng)絡(luò)原始數(shù)據(jù)樣本。三、數(shù)據(jù)提取模塊三、數(shù)據(jù)提取模塊DRDR（Data Refinem

20、entData Refinement）DRDR應(yīng)布置于傳感器本地，以減小傳輸開(kāi)銷(xiāo)，其作用是應(yīng)布置于傳感器本地，以減小傳輸開(kāi)銷(xiāo)，其作用是對(duì)對(duì)DSDS的原始數(shù)據(jù)進(jìn)行預(yù)處理。主要功能為：的原始數(shù)據(jù)進(jìn)行預(yù)處理。主要功能為：1 1、對(duì)、對(duì)DSDS所提供的數(shù)據(jù)進(jìn)行過(guò)濾，保證數(shù)據(jù)的規(guī)范性；所提供的數(shù)據(jù)進(jìn)行過(guò)濾，保證數(shù)據(jù)的規(guī)范性；2 2、對(duì)、對(duì)DSDS提供的原始數(shù)據(jù)進(jìn)行本地決策，并形成相關(guān)對(duì)提供的原始數(shù)據(jù)進(jìn)行本地決策，并形成相關(guān)對(duì)象；象；第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、數(shù)據(jù)提取模塊DR（Data Refinement） 3 3、對(duì)本地決策后形成的對(duì)象標(biāo)志符、

21、對(duì)本地決策后形成的對(duì)象標(biāo)志符OIDOID，加上時(shí)間標(biāo)，加上時(shí)間標(biāo)記記TTTT（Time TagTime Tag）和空間標(biāo)記）和空間標(biāo)記STST（Space TagSpace Tag），由），由此形成帶有時(shí)空標(biāo)記的此形成帶有時(shí)空標(biāo)記的OIDOID。DFIDMDFIDM為保證從目標(biāo)系統(tǒng)獲取的數(shù)據(jù)具有時(shí)間上的為保證從目標(biāo)系統(tǒng)獲取的數(shù)據(jù)具有時(shí)間上的一致性，在網(wǎng)絡(luò)各節(jié)點(diǎn)處維護(hù)標(biāo)準(zhǔn)的系統(tǒng)時(shí)間周期一致性，在網(wǎng)絡(luò)各節(jié)點(diǎn)處維護(hù)標(biāo)準(zhǔn)的系統(tǒng)時(shí)間周期SSTCSSTC（System Standard Time CycleSystem Standard Time Cycle），該時(shí)間周期），該時(shí)間周期在系統(tǒng)內(nèi)具有一致性和

22、唯一性。在系統(tǒng)內(nèi)具有一致性和唯一性。4 4、DRDR輸出的對(duì)象為本地決策輸出的對(duì)象為本地決策LDMLDM（Local DecisionLocal DecisionMakingMaking），主要包括時(shí)間標(biāo)記、空間標(biāo)記和入侵類(lèi)型），主要包括時(shí)間標(biāo)記、空間標(biāo)記和入侵類(lèi)型等，如圖等，如圖2.10所示。所示。 時(shí)間標(biāo)記TT入侵類(lèi)型OID空間標(biāo)記ST圖2.10 本地決策LDM示意圖第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第六節(jié) DFIDM的數(shù)據(jù)與對(duì)象提取四、對(duì)象提取四、對(duì)象提取OR（Object Refinement）OROR針對(duì)各節(jié)點(diǎn)傳來(lái)的針對(duì)各節(jié)點(diǎn)傳來(lái)的LDM

23、LDM進(jìn)行處理，應(yīng)布置于融合進(jìn)行處理，應(yīng)布置于融合中心中心FCFC。對(duì)象提取的作用，是按照共同的入侵類(lèi)型，。對(duì)象提取的作用，是按照共同的入侵類(lèi)型，對(duì)數(shù)據(jù)進(jìn)行區(qū)分，并形成一個(gè)基于對(duì)象的集合。對(duì)數(shù)據(jù)進(jìn)行區(qū)分，并形成一個(gè)基于對(duì)象的集合。按以下幾個(gè)步驟進(jìn)行按以下幾個(gè)步驟進(jìn)行1、OR通過(guò)初始數(shù)據(jù)緩存空間通過(guò)初始數(shù)據(jù)緩存空間ODC（Original Data Cache）接收并存儲(chǔ)來(lái)自各節(jié)點(diǎn)）接收并存儲(chǔ)來(lái)自各節(jié)點(diǎn)LDM，該空間是一個(gè)，該空間是一個(gè)對(duì)象存儲(chǔ)的集合；對(duì)象存儲(chǔ)的集合；2、網(wǎng)絡(luò)故障或延遲等因素可能導(dǎo)致同時(shí)產(chǎn)生的對(duì)象會(huì)、網(wǎng)絡(luò)故障或延遲等因素可能導(dǎo)致同時(shí)產(chǎn)生的對(duì)象會(huì)異步到達(dá)，為此采用了三級(jí)延遲緩存的設(shè)

24、計(jì)思想來(lái)加異步到達(dá)，為此采用了三級(jí)延遲緩存的設(shè)計(jì)思想來(lái)加以解決。以解決。ODC作為第一級(jí)緩存；二級(jí)緩存空間作為第一級(jí)緩存；二級(jí)緩存空間SDC用用作時(shí)間校準(zhǔn)；三級(jí)緩存空間作時(shí)間校準(zhǔn)；三級(jí)緩存空間TDC用作對(duì)最后按規(guī)則選用作對(duì)最后按規(guī)則選出的輸出對(duì)象集合進(jìn)行緩存。出的輸出對(duì)象集合進(jìn)行緩存。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、對(duì)象提取OR（Object Refinement）3、對(duì)于、對(duì)于SDC中創(chuàng)建時(shí)間等于中創(chuàng)建時(shí)間等于DV的集合，的集合，OR可認(rèn)為已可認(rèn)為已通過(guò)時(shí)間校準(zhǔn)。其中，每個(gè)對(duì)象的時(shí)間標(biāo)記都相同。通過(guò)時(shí)間校準(zhǔn)。其中，每個(gè)對(duì)象的時(shí)間標(biāo)記都相同。

25、即將從即將從SDCSDC送到送到TDCTDC的一個(gè)集合的情況如圖的一個(gè)集合的情況如圖2.11所示：所示：O1O2時(shí) 間 標(biāo) 記 TT t0入 侵 類(lèi) 型 OID空 間 標(biāo) 記 ST時(shí) 間 標(biāo) 記 TT t0入 侵 類(lèi) 型 OID空 間 標(biāo) 記 ST時(shí) 間 標(biāo) 記 TT t0入 侵 類(lèi) 型 OID空 間 標(biāo) 記 STOm. .其 中 ， 集 合 中 各 個(gè) 元 素 O的 的 時(shí) 間 TT相 同 ，等 于 t0， 而 空 間 標(biāo) 記 ST和 OID則 可 能 不 同 。圖2.11 即將從SDC傳輸?shù)絋DC的集合情況第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、

26、對(duì)象提取OR（Object Refinement）第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、對(duì)象提取OR（Object Refinement）從從TDC最終輸出的若最終輸出的若干集合的情況如圖干集合的情況如圖2.12所示：所示：說(shuō)明：一般的，該集合群中任一集合p內(nèi)各個(gè)元素的時(shí)間TT相同，等于t0；入侵行為OID相同，等于p；而空間標(biāo)記ST則不同。. . . .集合p是kp個(gè)節(jié)點(diǎn)針對(duì)第p類(lèi)入侵所提交的對(duì)象O11O12時(shí)間標(biāo)記TTt0入侵類(lèi)型OID1空間標(biāo)記ST時(shí)間標(biāo)記TTt0入侵類(lèi)型OID1空間標(biāo)記STO1k1.時(shí)間標(biāo)記TTt0入侵類(lèi)型OID1空間標(biāo)記S

27、T集合1是k1個(gè)節(jié)點(diǎn)針對(duì)第一類(lèi)入侵所提交的對(duì)象O21O22時(shí)間標(biāo)記TTt0入侵類(lèi)型OID2空間標(biāo)記ST時(shí)間標(biāo)記TTt0入侵類(lèi)型OID2空間標(biāo)記STO2k2.時(shí)間標(biāo)記TTt0入侵類(lèi)型OID2空間標(biāo)記ST集合2是k2個(gè)節(jié)點(diǎn)針對(duì)第二類(lèi)入侵所提交的對(duì)象Op1空間標(biāo)記ST時(shí)間標(biāo)記TTt0入侵類(lèi)型OIDpOp2空間標(biāo)記ST時(shí)間標(biāo)記TTt0入侵類(lèi)型OIDpOpkp空間標(biāo)記ST時(shí)間標(biāo)記TTt0入侵類(lèi)型OIDp.圖圖2.12 OR最終輸出到最終輸出到TA的集合群的集合群第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、對(duì)象提取OR（Object Refinement）5、工作流

28、程如圖、工作流程如圖2.13所示所示來(lái)自各節(jié)點(diǎn)的LDM1，2,.，nODCSDCTDC存放原始數(shù)據(jù)的對(duì)象集合存放時(shí)間標(biāo)記相同的對(duì)象集合存放按特定規(guī)則選取后的對(duì)象集合，例如相同入侵類(lèi)型的集合輸出到TA圖2.13 OR的工作流程圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、對(duì)象提取OR（Object Refinement）接收各節(jié)點(diǎn)LDM1,2,n并存入ODC中每個(gè)WT對(duì)ODC內(nèi)的對(duì)象進(jìn)行一次處理該對(duì)象所對(duì)應(yīng)時(shí)間標(biāo)記的集合是否存在?是將該對(duì)象加入SDC中的相應(yīng)集合創(chuàng)建集合，并將該對(duì)象加入SDC中相應(yīng)集合START系統(tǒng)對(duì)SDC內(nèi)的各集合不斷輪詢集合創(chuàng)建時(shí)間=

29、DV?系統(tǒng)將該集合內(nèi)各元素，按不同入侵類(lèi)型重新劃分并形成集合群，存入TDC否否是END圖2.13 OR的工作流程圖 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第七節(jié) 融合與最終決策 本節(jié)討論本節(jié)討論DFIDM的最后一個(gè)部分的最后一個(gè)部分TA（Threaten Assessment），其作用主要有三個(gè)，即融合策略與），其作用主要有三個(gè)，即融合策略與算法、威脅評(píng)估以及啟動(dòng)響應(yīng)辦法。算法、威脅評(píng)估以及啟動(dòng)響應(yīng)辦法。 一、各本地決策與本地檢測(cè)器的可靠性系數(shù)一、各本地決策與本地檢測(cè)器的可靠性系數(shù)1 1、可靠性系數(shù)的調(diào)整可靠性系數(shù)的調(diào)整DFIDMDFIDM維護(hù)一個(gè)基于

30、各檢測(cè)器可靠性系數(shù)的二維矩維護(hù)一個(gè)基于各檢測(cè)器可靠性系數(shù)的二維矩陣陣 ，一般地，一般地， 為第為第i個(gè)檢測(cè)器對(duì)第個(gè)檢測(cè)器對(duì)第j種入侵行為的可種入侵行為的可靠性系數(shù)，并根據(jù)系統(tǒng)實(shí)際性能不斷對(duì)其進(jìn)行調(diào)整?？啃韵禂?shù)，并根據(jù)系統(tǒng)實(shí)際性能不斷對(duì)其進(jìn)行調(diào)整。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)一、各本地決策與本地檢測(cè)器的可靠性系數(shù)2、可靠性系數(shù)的計(jì)算可靠性系數(shù)的計(jì)算將一次融合過(guò)程的檢測(cè)器可靠性系數(shù)值記為將一次融合過(guò)程的檢測(cè)器可靠性系數(shù)值記為 ,并應(yīng)用于最終融合決策公式的計(jì)算中。從系統(tǒng)角度并應(yīng)用于最終融合決策公式的計(jì)算中。從系統(tǒng)角度來(lái)看，考慮到各檢測(cè)器的可靠性本身

31、具有相同的可來(lái)看，考慮到各檢測(cè)器的可靠性本身具有相同的可信度，簡(jiǎn)化起見(jiàn)，信度，簡(jiǎn)化起見(jiàn)，DFIDM將函數(shù)將函數(shù) g設(shè)定為算術(shù)平均設(shè)定為算術(shù)平均和，即和，即 ：nniijj1第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第七節(jié) 融合與最終決策二、二、根據(jù)入侵檢測(cè)系統(tǒng)的實(shí)際需要，根據(jù)入侵檢測(cè)系統(tǒng)的實(shí)際需要，DFIDMDFIDM在進(jìn)行融合決在進(jìn)行融合決策時(shí)還引入了空間因素、時(shí)序因素、歷史記錄、人工策時(shí)還引入了空間因素、時(shí)序因素、歷史記錄、人工加權(quán)這四個(gè)主要因素：加權(quán)這四個(gè)主要因素：1、空間因素，是指目標(biāo)系統(tǒng)各節(jié)點(diǎn)上檢測(cè)器對(duì)同一種入侵行為、空間因素，是指目標(biāo)系統(tǒng)各節(jié)點(diǎn)

32、上檢測(cè)器對(duì)同一種入侵行為的聯(lián)合預(yù)警的聯(lián)合預(yù)警。 2、時(shí)序因素，是指當(dāng)真實(shí)攻擊發(fā)生時(shí)，各節(jié)點(diǎn)由于網(wǎng)絡(luò)拓?fù)浜?、時(shí)序因素，是指當(dāng)真實(shí)攻擊發(fā)生時(shí)，各節(jié)點(diǎn)由于網(wǎng)絡(luò)拓?fù)浜吐酚傻牟煌?，可能在?duì)同一入侵行為的檢測(cè)上出現(xiàn)異步性。路由的不同，可能在對(duì)同一入侵行為的檢測(cè)上出現(xiàn)異步性。 3、歷史記錄因素可針對(duì)具有一定規(guī)律的入侵行為提高準(zhǔn)確性，、歷史記錄因素可針對(duì)具有一定規(guī)律的入侵行為提高準(zhǔn)確性，本文僅選取特定的攻擊源本文僅選取特定的攻擊源IP地址段這一情況加以分析。為此，系地址段這一情況加以分析。為此，系統(tǒng)維護(hù)一個(gè)對(duì)應(yīng)于攻擊類(lèi)型來(lái)源的列表，使用可變階二維矩陣統(tǒng)維護(hù)一個(gè)對(duì)應(yīng)于攻擊類(lèi)型來(lái)源的列表，使用可變階二維矩陣表表達(dá)

33、。達(dá)。 4、鑒于入侵行為并非完全按可預(yù)知的方式進(jìn)行，而常常具有突、鑒于入侵行為并非完全按可預(yù)知的方式進(jìn)行，而常常具有突發(fā)性、階段性，在融合因素中人為的權(quán)衡也有其存在的合理性，發(fā)性、階段性，在融合因素中人為的權(quán)衡也有其存在的合理性，為此引入了人為判斷系數(shù)為此引入了人為判斷系數(shù)。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第七節(jié) 融合與最終決策三、三、融合結(jié)果融合結(jié)果最終決策結(jié)果表達(dá)為各影響因素的函數(shù)。最終決策結(jié)果表達(dá)為各影響因素的函數(shù)。由于無(wú)論對(duì)函數(shù)由于無(wú)論對(duì)函數(shù)f f的準(zhǔn)確性怎樣進(jìn)行優(yōu)化，這的準(zhǔn)確性怎樣進(jìn)行優(yōu)化，這5個(gè)因素個(gè)因素實(shí)際上應(yīng)該對(duì)決策結(jié)果施加的影

34、響大小，都難以被準(zhǔn)實(shí)際上應(yīng)該對(duì)決策結(jié)果施加的影響大小，都難以被準(zhǔn)確的反映為具體數(shù)值。確的反映為具體數(shù)值。DFIDM的最終決策結(jié)果以定性的最終決策結(jié)果以定性分析為主，定量計(jì)算為輔。分析為主，定量計(jì)算為輔。),(f第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)三、融合結(jié)果1、定性結(jié)果的描述定性結(jié)果的描述系統(tǒng)能詳細(xì)、規(guī)范地對(duì)融合過(guò)程中所涉及的因素進(jìn)行描述，系統(tǒng)能詳細(xì)、規(guī)范地對(duì)融合過(guò)程中所涉及的因素進(jìn)行描述，并提交相關(guān)報(bào)告，系統(tǒng)管理者能很詳細(xì)地對(duì)目標(biāo)系統(tǒng)中可能發(fā)并提交相關(guān)報(bào)告，系統(tǒng)管理者能很詳細(xì)地對(duì)目標(biāo)系統(tǒng)中可能發(fā)生的各類(lèi)入侵狀況進(jìn)行了解，并在此基礎(chǔ)上進(jìn)行相應(yīng)處理。生

35、的各類(lèi)入侵狀況進(jìn)行了解，并在此基礎(chǔ)上進(jìn)行相應(yīng)處理。2、定量公式計(jì)算定量公式計(jì)算 設(shè)系統(tǒng)最終決策為設(shè)系統(tǒng)最終決策為 Z，可用一維數(shù)組表達(dá)，其分量可用一維數(shù)組表達(dá)，其分量 表表示對(duì)第示對(duì)第j j種入侵行為的決策值，將所有因素等同考慮，則可得：種入侵行為的決策值，將所有因素等同考慮，則可得：qjjjjjj)(第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)2、定量公式計(jì)算最終決策最終決策Z Z是元素值介于是元素值介于0 0到到1 1之間的一維數(shù)組，分別對(duì)之間的一維數(shù)組，分別對(duì)應(yīng)了各類(lèi)入侵在某個(gè)時(shí)刻，經(jīng)過(guò)應(yīng)了各類(lèi)入侵在某個(gè)時(shí)刻，經(jīng)過(guò)DFIDMDFIDM融合后的發(fā)生概融合

36、后的發(fā)生概率。由于各個(gè)影響因素在入侵實(shí)際發(fā)生時(shí)，可能會(huì)對(duì)率。由于各個(gè)影響因素在入侵實(shí)際發(fā)生時(shí)，可能會(huì)對(duì)融合決策起到不同作用，故可以加入調(diào)整系數(shù)序融合決策起到不同作用，故可以加入調(diào)整系數(shù)序列列 ，對(duì)于不同因素進(jìn)行調(diào)整，擴(kuò)展的計(jì)算對(duì)于不同因素進(jìn)行調(diào)整，擴(kuò)展的計(jì)算公式為：公式為：51, ibiqbbbbbjjjjjj)(54321第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第七節(jié) 融合與最終決策四、處理與響應(yīng)辦法四、處理與響應(yīng)辦法在得到最終融合可靠性系數(shù)在得到最終融合可靠性系數(shù)L(u)L(u)后，系統(tǒng)還需要后，系統(tǒng)還需要提供閾值提供閾值A(chǔ) A和判決函數(shù)和判決函數(shù)f

37、()f()，來(lái)得出最終判決結(jié)果，來(lái)得出最終判決結(jié)果f(L(u)f(L(u)。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)四、處理與響應(yīng)辦法當(dāng)系統(tǒng)具有低、中、高響應(yīng)辦法時(shí)，閾值當(dāng)系統(tǒng)具有低、中、高響應(yīng)辦法時(shí)，閾值A(chǔ) A和判決函數(shù)和判決函數(shù)f()f()的方式可以設(shè)置如下：的方式可以設(shè)置如下： 取值在取值在0,0.30,0.3（閾值條（閾值條件件 ）之間對(duì)應(yīng)威脅程度為低；）之間對(duì)應(yīng)威脅程度為低；0.3,0.70.3,0.7（閾值條（閾值條件件 ）對(duì)應(yīng)威脅程度為中；大于）對(duì)應(yīng)威脅程度為中；大于0.70.7（閾值條件（閾值條件 ）為高。然后根據(jù)判決結(jié)果，系統(tǒng)啟動(dòng)不同

38、的響應(yīng)處理為高。然后根據(jù)判決結(jié)果，系統(tǒng)啟動(dòng)不同的響應(yīng)處理辦法。辦法。 j1A2A3A 3 . 0 , 0)(,7 . 0 , 3 . 0)(,0 . 1 , 7 . 0)(, ,)(uLuLuLuLf記入日志低等級(jí)威脅系統(tǒng)報(bào)警中等級(jí)威脅立即處理高等級(jí)威脅第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第七節(jié) 融合與最終決策五、管理策略五、管理策略 最后是系統(tǒng)管理策略，在以上最后是系統(tǒng)管理策略，在以上層次結(jié)構(gòu)以外，系統(tǒng)的整體管層次結(jié)構(gòu)以外，系統(tǒng)的整體管理策略獨(dú)立存在并管理、維護(hù)理策略獨(dú)立存在并管理、維護(hù)整個(gè)系統(tǒng)。其功能包括：規(guī)則整個(gè)系統(tǒng)。其功能包括：規(guī)則庫(kù)升級(jí)、各

39、層次數(shù)據(jù)庫(kù)的維護(hù)庫(kù)升級(jí)、各層次數(shù)據(jù)庫(kù)的維護(hù)（初始化、定期清空等）、系（初始化、定期清空等）、系統(tǒng)各部分的性能檢查與調(diào)優(yōu)，統(tǒng)各部分的性能檢查與調(diào)優(yōu)，等等。等等。入侵類(lèi)型編號(hào)：j入侵類(lèi)型名稱(chēng)：XXX本次入侵涉及的檢測(cè)器編號(hào)：. .0，n量化計(jì)算參考值：0.xx 0，1對(duì)應(yīng)威脅等級(jí)： （高、中、低）2、細(xì)節(jié)描述：各檢測(cè)器可靠性系數(shù)對(duì)應(yīng)關(guān)系：. .0，n時(shí)間可靠性系數(shù)值：0.xx歷史記錄可靠性系數(shù)值：0.xx人工加權(quán)系數(shù)值：0.xx本次量化計(jì)算選擇的系數(shù)序列a：. .本次量化計(jì)算選擇的計(jì)算公式Z：. .3、建議的響應(yīng)辦法：略1、宏觀描述：對(duì)第j類(lèi)入侵的報(bào)告：入侵發(fā)生時(shí)間：t0. . .圖2.14 FD

40、IDM最終決策報(bào)告 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第八節(jié) DFIDM的及時(shí)性和準(zhǔn)確性一、一、DFIDM的及時(shí)性的及時(shí)性 1、在以網(wǎng)絡(luò)為平臺(tái)的融合系統(tǒng)中，分布式傳感器所獲、在以網(wǎng)絡(luò)為平臺(tái)的融合系統(tǒng)中，分布式傳感器所獲得的數(shù)據(jù)需要盡可能地在本地處理，這是實(shí)現(xiàn)得的數(shù)據(jù)需要盡可能地在本地處理，這是實(shí)現(xiàn)DFIDM及時(shí)性的第一個(gè)重要措施。及時(shí)性的第一個(gè)重要措施。 2、為保證及時(shí)性，還需要通過(guò)建立獨(dú)立、高速的檢測(cè)、為保證及時(shí)性，還需要通過(guò)建立獨(dú)立、高速的檢測(cè)網(wǎng)絡(luò)或?qū)δ繕?biāo)網(wǎng)絡(luò)進(jìn)行限速來(lái)實(shí)現(xiàn)。網(wǎng)絡(luò)或?qū)δ繕?biāo)網(wǎng)絡(luò)進(jìn)行限速來(lái)實(shí)現(xiàn)。二、二、DFIDM的準(zhǔn)確性與性能優(yōu)化，

41、需要通過(guò)定期測(cè)試和的準(zhǔn)確性與性能優(yōu)化，需要通過(guò)定期測(cè)試和調(diào)優(yōu)來(lái)加以解決。調(diào)優(yōu)來(lái)加以解決。第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第九節(jié) 實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析 一、實(shí)驗(yàn)準(zhǔn)備：一、實(shí)驗(yàn)準(zhǔn)備：實(shí)驗(yàn)環(huán)境為實(shí)驗(yàn)環(huán)境為1個(gè)融合中心個(gè)融合中心FC（Intel服務(wù)器服務(wù)器1G），），5個(gè)節(jié)點(diǎn)（個(gè)節(jié)點(diǎn)（PC賽揚(yáng)賽揚(yáng)666），），攻擊數(shù)據(jù)由攻擊數(shù)據(jù)由1臺(tái)臺(tái)PC賽揚(yáng)賽揚(yáng)666提供。提供。為了既驗(yàn)證為了既驗(yàn)證DFIDM機(jī)制的有效性，又易于操作，機(jī)制的有效性，又易于操作，實(shí)驗(yàn)中下載了五種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)，實(shí)驗(yàn)中下載了五種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)，分別是分別是snort（版

42、本（版本1.7）、）、PSAD （版本（版本1.2）、）、Bro（版本（版本0.7）、）、preclude（版本（版本0.7）、）、IDES（版本（版本0.4）。 第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第九節(jié) 實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析1 1、漏報(bào)率的比較實(shí)驗(yàn)：、漏報(bào)率的比較實(shí)驗(yàn)：為測(cè)試為測(cè)試DFIDMDFIDM的漏報(bào)率，選擇了的漏報(bào)率，選擇了5 5種入侵類(lèi)型。種入侵類(lèi)型。分別對(duì)同時(shí)攻擊類(lèi)型為分別對(duì)同時(shí)攻擊類(lèi)型為1 1、3 3、5 5的情況進(jìn)行的情況進(jìn)行3 3組實(shí)驗(yàn)，組實(shí)驗(yàn)，每組實(shí)驗(yàn)分別進(jìn)行了每組實(shí)驗(yàn)分別進(jìn)行了10001000次，得出次，得出3 3組數(shù)據(jù)

43、，這些組數(shù)據(jù)，這些數(shù)據(jù)為融合后的結(jié)果數(shù)據(jù)為融合后的結(jié)果 。以。以0.50.5為閾值，判斷其檢為閾值，判斷其檢測(cè)結(jié)果是否正確，正確記為測(cè)結(jié)果是否正確，正確記為1 1，否則為，否則為0 0。最后對(duì)每。最后對(duì)每組實(shí)驗(yàn)中同一入侵類(lèi)型，計(jì)算所有樣本數(shù)據(jù)之和的組實(shí)驗(yàn)中同一入侵類(lèi)型，計(jì)算所有樣本數(shù)據(jù)之和的算術(shù)平均值算術(shù)平均值e e，得到，得到DFIDMDFIDM漏報(bào)率的平均值漏報(bào)率的平均值1 1e e。此。此后，對(duì)后，對(duì)snortsnort和和BroBro同樣進(jìn)行上述同樣進(jìn)行上述3 3組實(shí)驗(yàn)，各組實(shí)驗(yàn)，各10001000次，采用同樣方法得到其漏報(bào)率，并列表比較。次，采用同樣方法得到其漏報(bào)率，并列表比較。j第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第九節(jié) 實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析漏報(bào)率的比較數(shù)據(jù)如下表漏報(bào)率的比較數(shù)據(jù)如下表2.12.1：(1)(1)、同時(shí)攻擊種類(lèi)為、同時(shí)攻擊種類(lèi)為1 1時(shí)：時(shí)：攻擊類(lèi)攻擊類(lèi)型型攻擊實(shí)現(xiàn)工攻擊實(shí)現(xiàn)工具具漏報(bào)率（）漏報(bào)率（）SnortBro DFIDMTCP FloodTFN4.13.70.9表2.1 攻擊種類(lèi)為1時(shí)的結(jié)果比較第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第九節(jié) 實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析(2)(2)、同時(shí)攻擊種類(lèi)為、同時(shí)攻擊種類(lèi)為3 3時(shí)：時(shí)： 攻擊類(lèi)型攻擊類(lèi)