1、2018 年基于证据推理算法的入侵检测系统设计方案数据融合算法是入侵检测系统设计的核心内容,对于不知道与不确定信息的处理,证据推理算法具有十分突出的特点,已成为数据融合算法的热点。为了避免焦元爆炸问题,该文采用一种可有效减少证据合成计算量又可确保合成实时性准确性数据融合算法。为了解决分布式系统中主控端与各入侵检测终端之间的通信问题,引入分布式协同算法,并在此基础上,设计一种分布式入侵检测系统。 入侵检测系统是一种积极主动的安全防护机制,不仅能够防御对来自外网入侵攻击,还能有效地防止内网的攻击和机密信息的泄漏,入侵检测系统有效地提高网络安全的整体水平,它已经成为网络信息安全领域的研究热点。 1
2、概述 论据推理理论是入侵检测系统中应用最为广泛的数据融合算法,已成为一种最适合的不确定推理方法。它不需要任何先验的概率,直接利用区间信度刻画证据度量和命题结果,处理不确定与不知道的信息,约束条件宽松,与经典的概率论、贝叶斯理论有着本质的区别。尽管如此,若入侵检测技术采用传统的证据理论进行数据融合计算,在网络环境各种干扰和噪声的影响下,系统中攻击行为、入侵事件与恶意企图等网络入侵目标的识别能力急剧下降,漏报率和误报率增加,因此,需要改进传统的证据理论,使其适合网络入侵检测技术。 2 证据合成算法的研究与改进 在入侵检测系统中,对于各子系统上报的可疑行为,需要对来自各个多个信息源的数据进行关联、估
3、计和组合等处理,从而进行识别判断。证据理论就是用于数据融合的算法之一。 2.1 D-S 证据理论 证据推理是由 Dempster 首先提出的,并由 Shafer进一步完善发展起来的,所以又称作 Dempster-Shafer证据理论或 D-S 证据理论。 D-S 证据推理是从经典的集合论的基础上发展而来的。设为某一的辨别框架非空的集合,且各元素之间满足互斥条件,其所有的子集构成幂集 2。则基本信任指派函数可表达为BPA:mA0,1,其中 A 为幂集 2中任一子集,表示证据支持命题 A发生的程度mA 。 上式 K 表示两个证据体突冲程度的度量,也是描述是否适用证据推理算法的依据。如果 K=1,则
4、证据体完全矛盾,D-S 融合算法失效;如果 K 值较小,则证据体是一致的,可以使用归一化处理。 实践证明:利用传统的证据合成规则在合成不同证据时出现的计算复杂度问题属于 NP 完全问题,计算复杂度随识别框架的基数的增加而成指数增加,极大的计算量限制了其应用。 2.2 基于 D-S 证据理论的算法改进 (1) 相关函数 Dubois 和 Prade 认为证据理论中焦元的基数和焦元的基本概率赋值信息是证据的构成的重要因素,因此,改进算法选择参与融合的焦元的标准不是焦元的基本概率赋值,而是以证据的平均能量函数作为评判的选择标准,平均能量函数可包括证据的焦元能量函数和平均能量函数。 (2) 分类规则
5、如果采用焦元能量函怠萜骄能量函数作为合成过程中焦元的分类规则,则可将焦元分为两类: 保留焦元(焦元的能量大于或等于证据的平均能量)和抛弃焦元(焦元的能量小于证据的平均能量)。 其中,Nib,Nip,Ni分别为证据保留焦元集中的焦元(命题)个数、抛弃焦元集中的焦元个数以及证据i 所支持的焦元个数。 焦元分类规则能够较为精确的区分识别框架 Q 中所有的证据体须要融合计算的焦元和对组合计算最终抛弃的焦元。即参与组合计算的焦元将精确标出,这样就大大减小了推理合成的计算量,避免焦元爆炸的现象。 (3) 算法描述 如果被抛弃的焦元中的一些信息如果不参与证据合成计算,那么,可能会使最终决策结果产生偏差,即据
6、证丢失可能影响最终的判决结果。因此,对于抛弃的焦元,需要对其基本概率赋值进行再分配,使抛弃焦元自身携带的有用信息得以有效利用,参与到决策结论的判决过程中。这样,不会因抛弃焦元的有用信息不会损失而使判决结果有较大的偏差。 设Pk为SiP中一焦元,为与之相关的集合,BG为SiB中与Pk相交不为空的焦元组成的集合;如果SiB中与Pk相交不为空则可判断所抛弃的焦元中含有用的信息理论不会影响结果,因此,只需考虑集合BG。对抛弃焦元Dk的基本概率赋值再次分配时,只要将抛弃焦元的基本概率赋值分配在有嵌套关系或相交的焦元集上。当抛弃焦元与所有保留焦元相交为空时,将其基本概率赋值分配给未知命题 Q。 抛弃焦元基
7、本概率赋值重新分配方法如下: (1) 终端 T0 即主控中心对于所有的入侵检测任务,如果有 mi?M,则查询本体的攻击特征入侵规则库,获悉该任务多个原子攻击序列组成,A=a1,a2,an,此时,主控中心向所有入侵检测终端 Tn 广播消息序列,分发入侵的检测结果。 (2) 收到主控中心订阅消息后,各终遄 Tn 向主控中心 T0 回复一条确认消息。 (3) 各入侵检测终端 Tn 如果检测到了入侵行为或恶意攻击时,主动向主控中心 T0 发送入侵告警消息。 (4) 主控中心 T0 对收到来自各个入侵检测终端的原子入侵消息(包括 T0 自身汇报的和从其他 T 汇报的)进行关联分析,建立检测模型,通过融合
8、计算,判断是否存在入侵企图或存在的攻击等威胁,并向网络管理者发出报警或主动切断网络的连接。 各入侵检测终端 Tn 所承担的分析任务是发现网段内的协同攻击,其分析依据是来自各自检测信息以及从主控中心订阅的原子入侵报警(协同其他入侵检测终端或T0)。主控中心 T0 对于收集到的终端 Tn 上报的信息集合,进行关联分析,试图找出各个入侵者所有可能的关联方式,即所有可能的入侵者组合的集合。 4 改进算法的实现 入侵检测系统将向其他终端 Tn 订阅入侵消息的终端T0 定义为主控端,定义 T0 自身检测信息以及其他 Tn 的原子入侵报警信息为证据。 参与主控端 T0 融合的证据来源于 T0 自身及其他Tn
9、,主控中心 T0 和其他入侵检测终端 Tn 具有局部检测分析的功能,独立性很强,需要对对局部检测分析报告事件或存在的攻击可能行为进行明确的定义。各终端上报 T0 的事件格式需要适用入侵检测分析环境的不同、检测的技术方式的差异。因而需要对可疑事件的报告格式进行定义。定义格式如表 1 所示。 只要各终端 T 获取可疑事件相应的局部决策表,利用分布式协同算法,上报主控端 T0 由主控端最终融合计算,得出检测结论。 设各终端上报的可疑事件 i 的证据体为Aj,miAjj=1,2,N,运用改进算法进行融合的流程图如图 2 所示。 改进的证据推理算法步骤如下: 侗鹂蚣苤械慕乖安照保留下焦元和抛弃焦元进行分类,并计算焦元能量函数、证据平均能量函数;计算抛弃焦元的基本概率赋值,根据基本概率值实现抛弃焦元再分配,减少因抛弃焦元因携带有用信息而对融合结果产生的偏差; 根据证据合成规则,融合判断是否有入侵事件,并获得最终融合结果。 5 小结 本文重点对 D-S 证据理论进行了研究,采用基于 D-S 证据理论的算法改进,引入分布式协同算法来解决各终端之间的协同问题,设计一种分布式入侵检测系统。通过实践证明改进的证据推理算法能够有效地减少数据融合的计算量,同时还能提高系统的融合性能,达到设计的要求。
