祝亞楠

(鞍山市交通運(yùn)輸學(xué)校，遼寧鞍山114075)

淺談數(shù)據(jù)融合技術(shù)在入侵檢測(cè)系統(tǒng)中的作用

祝亞楠

(鞍山市交通運(yùn)輸學(xué)校，遼寧鞍山114075)

分布式網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)，需要從網(wǎng)絡(luò)終端的各個(gè)代理上采集、融合數(shù)據(jù)，以便對(duì)網(wǎng)絡(luò)空間的全局?jǐn)?shù)據(jù)流經(jīng)情況做以掌握，從而對(duì)照規(guī)則庫(kù)，進(jìn)行特征匹配，成功檢測(cè)、阻止各種利用網(wǎng)絡(luò)進(jìn)行的協(xié)同攻擊。數(shù)據(jù)融合技術(shù)是網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)中的不可或缺的基礎(chǔ)組成部分，而且會(huì)伴隨著網(wǎng)絡(luò)入侵檢測(cè)產(chǎn)品的日益普及，更顯其重要性。本文從數(shù)據(jù)融合的定義及工作流程入手，簡(jiǎn)單陳述了數(shù)據(jù)融合技術(shù)在入侵檢測(cè)系統(tǒng)中的作用。

多源數(shù)據(jù)；數(shù)據(jù)融合；入侵檢測(cè)

一、數(shù)據(jù)融合的定義及工作流程

數(shù)據(jù)融合技術(shù)最早用于軍事。1973年美國(guó)研究機(jī)構(gòu)開(kāi)始了對(duì)數(shù)據(jù)融合的研究，最先研究的內(nèi)容是用于軍事用途的聲吶信號(hào)解釋系統(tǒng)。從那以后，特別是自海灣戰(zhàn)爭(zhēng)以來(lái)，從事數(shù)據(jù)融合領(lǐng)域研究的人員越來(lái)越多，數(shù)據(jù)融合技術(shù)得到了長(zhǎng)足的發(fā)展，并在軍事領(lǐng)域和非軍事領(lǐng)域廣泛應(yīng)用。

Edward Waltz和James Llinas在他們的有關(guān)論文中，綜合了以往多人對(duì)數(shù)據(jù)融合的應(yīng)用研究，并加上了自己獨(dú)自的見(jiàn)解，明確提出了數(shù)據(jù)融合的概念：數(shù)據(jù)融合[1]是一種多層次的、多方面的處理過(guò)程，這個(gè)過(guò)程是對(duì)多源數(shù)據(jù)進(jìn)行檢測(cè)、結(jié)合、相關(guān)、估計(jì)和組合以達(dá)到精確的狀態(tài)估計(jì)和身份估計(jì)，以及完整、及時(shí)的態(tài)勢(shì)評(píng)估和威脅估計(jì)。

美國(guó)國(guó)防部JDL專(zhuān)門(mén)成立了數(shù)據(jù)融合技術(shù)專(zhuān)家組，提出了一個(gè)在防御系統(tǒng)中通用的數(shù)據(jù)融合處理模型，給出了數(shù)據(jù)融合的多層功能處理的觀點(diǎn)。其工作流程原理由八個(gè)過(guò)程模塊組成：采集數(shù)據(jù)源，多種數(shù)據(jù)過(guò)濾預(yù)處理，一級(jí)處理，二級(jí)處理，三級(jí)處理，四級(jí)處理，數(shù)據(jù)庫(kù)管理層，人機(jī)交互的用戶(hù)操作界面，即控制臺(tái)?，F(xiàn)就工作流程中各部件功能做以簡(jiǎn)述：

數(shù)據(jù)源:提供數(shù)據(jù)融合系統(tǒng)的輸入，可能的數(shù)據(jù)源包括各類(lèi)傳感器、人工輸入和數(shù)據(jù)庫(kù)的信息。

零層預(yù)處理：包括初始信號(hào)處理及對(duì)數(shù)據(jù)作適當(dāng)處理，使得融合系統(tǒng)能集中處理針對(duì)當(dāng)前場(chǎng)景的數(shù)據(jù)，減少融合系統(tǒng)的負(fù)載。

第一級(jí)處理：提取對(duì)象。即融合傳感器的信息以得到一個(gè)目標(biāo)項(xiàng)的精練表示，主要指目標(biāo)的位置和身份估計(jì)。一般包括四個(gè)功能:數(shù)據(jù)校準(zhǔn)、關(guān)聯(lián)、跟蹤(位置融合)、識(shí)別(屬性融合)。

第二級(jí)處理：態(tài)勢(shì)評(píng)估。即給出一個(gè)基于各個(gè)目標(biāo)間關(guān)系的前后相關(guān)的描述，以判定一組個(gè)體的意義。它包括目標(biāo)聚類(lèi)、事件和行為的解釋、以及最終的前后相關(guān)的解釋。

第三級(jí)處理：威脅評(píng)估。也就是對(duì)二級(jí)處理顯示的態(tài)勢(shì)進(jìn)行深層次分析，考慮這種態(tài)勢(shì)未來(lái)將對(duì)系統(tǒng)造成的影響。根據(jù)它的破壞嚴(yán)重性，衡量系統(tǒng)的抗攻擊性，從而做出準(zhǔn)確的威脅估計(jì)。

第四級(jí)處理：提升性能。它是一種超級(jí)處理，其目的是優(yōu)化融合系統(tǒng)的總體性能，主要功能包括性能評(píng)估、過(guò)程控制、需求決策、戰(zhàn)斗任務(wù)管理等。這一層的處理更偏向管理方面，比如可以根據(jù)融合結(jié)果對(duì)多傳感器進(jìn)行調(diào)節(jié)等。

數(shù)據(jù)庫(kù)管理層：主要提供對(duì)數(shù)據(jù)融合數(shù)據(jù)庫(kù)的訪(fǎng)問(wèn)和管理，它是數(shù)據(jù)融合處理最需要的支持功能之一，包括數(shù)據(jù)檢索、存儲(chǔ)、歸檔、壓縮、關(guān)系查詢(xún)和數(shù)據(jù)保護(hù)。

控制臺(tái)：即人機(jī)交互的用戶(hù)操作界面，允許人工輸入數(shù)據(jù)進(jìn)行數(shù)據(jù)融合處理，同時(shí)也作為數(shù)據(jù)融合系統(tǒng)與系統(tǒng)操作員的通信和交互的途徑。

二、數(shù)據(jù)融合技術(shù)在入侵檢測(cè)系統(tǒng)中的作用

數(shù)學(xué)家Wald曾對(duì)數(shù)據(jù)融合作用給予了精僻地概括。他說(shuō)數(shù)據(jù)融合只是一個(gè)抽象的概念，它將有形用于無(wú)形，實(shí)質(zhì)上是借助于某種方法，將多個(gè)數(shù)據(jù)源數(shù)據(jù)用某種形式加以組合，提煉。通過(guò)這個(gè)形式化的結(jié)合，達(dá)到減輕處理數(shù)據(jù)的負(fù)載，提取精確的信息的目的。具體精確的程度取決于融合的數(shù)據(jù)以及應(yīng)用的方向。

現(xiàn)在本文在Wald總結(jié)的這個(gè)有關(guān)數(shù)據(jù)融合的作用的基礎(chǔ)上，結(jié)合校園網(wǎng)入侵檢測(cè)系統(tǒng)，對(duì)數(shù)據(jù)融合的作用具體應(yīng)用如下：

數(shù)據(jù)融合就是利用遍布校園網(wǎng)絡(luò)中的多個(gè)代理，如HIDS，NIDS等，獲取多種不同的信息源數(shù)據(jù)，然后按照聚類(lèi)分析等智能方法將其組合、提煉，從而獲得高質(zhì)量的簡(jiǎn)約的數(shù)據(jù)。通過(guò)數(shù)據(jù)融合，可以對(duì)入侵對(duì)象，攻擊意圖，網(wǎng)絡(luò)抗攻擊狀況等進(jìn)行準(zhǔn)確地評(píng)估和響應(yīng)。

本文將數(shù)據(jù)融合技術(shù)增添到入侵檢測(cè)中，在處理數(shù)據(jù)跟蹤，提高檢測(cè)率，降低誤報(bào)率，增強(qiáng)系統(tǒng)可靠性等方面都發(fā)揮了極大的作用。具體體現(xiàn)在如下二個(gè)方面：

1、增強(qiáng)了系統(tǒng)的可靠性。由于有多個(gè)代理分布在入侵檢測(cè)體系結(jié)構(gòu)的各個(gè)節(jié)點(diǎn)處，即使有個(gè)別代理不能正常工作或攻擊行為不在其監(jiān)控區(qū)域，總會(huì)有一個(gè)其它的代理處于其中，可以執(zhí)行其功能，向上一級(jí)父節(jié)點(diǎn)或同一級(jí)節(jié)點(diǎn)的代理傳送信息，保證了系統(tǒng)不受影響，能夠?qū)崟r(shí)的監(jiān)控網(wǎng)絡(luò)空間，削弱了單點(diǎn)故障的損失，提高了檢測(cè)率。

2、拓寬了系統(tǒng)工作范圍。由于多個(gè)代理的分布，可能造成疊加，重復(fù)監(jiān)測(cè)的區(qū)域，使一些代理可以檢測(cè)到其它代理檢測(cè)不到的區(qū)域，或者可能由多個(gè)代理同時(shí)監(jiān)測(cè)同一個(gè)范圍內(nèi)的對(duì)象或事件。這些都在一定程度上拓寬了系統(tǒng)在空間和時(shí)間上的工作范圍，進(jìn)而降低了對(duì)攻擊的不確定性和誤報(bào)率，提高了系統(tǒng)的檢測(cè)能力，增強(qiáng)了檢測(cè)的有效性。

總之，數(shù)據(jù)融合是以網(wǎng)絡(luò)中的多個(gè)代理為硬件基礎(chǔ)，以多源數(shù)據(jù)為處理目標(biāo)，以綜合處理為核心的框架結(jié)構(gòu)，是入侵檢測(cè)的基礎(chǔ)核心技術(shù)。

[1]Peter Bladon,Richard J.Hall and W.Andy Wright.Situation Assessment UsingGraphical Models. ISIF2002,pp886-893.

（編輯 焦玉剛）

A Simple Analysis of The Function of Multi-Source Data Fusion Technology in Intrusion Detection System

ZHUYanan
(Anshan transportation school，Anshan 114075，China)

A distributed network intrusion detection system,need to collect data,integration of the terminal from every agency network,so that the global data on the network space through the situation to master,and the contrast the rule base to go on feature matching,attack detection,to prevent all kinds of attacks using network.Data fusion technology is a network intrusion detection system,which is indispensable in the basic part,and will be shown its importance with the increasing popularity of the network intrusion detection products.This paper starts with the definition and the working process of data fusion,makinga simple statement ofthe data fusion technologyin intrusion detection system.

multi-source data;date fusion；IDS

G712

B

1672-0601（2015）05-0095-02

祝亞楠（1973-），女，研究生，講師職稱(chēng)。主要研究方向：多源數(shù)據(jù)融合的設(shè)計(jì)與實(shí)現(xiàn)。