摘要：多傳感器數(shù)據(jù)融合是一個多級多側(cè)面的加工過程，是一種新型的網(wǎng)絡(luò)入侵檢測機(jī)制，本文通過構(gòu)造數(shù)學(xué)模型，設(shè)置影響網(wǎng)絡(luò)檢測的有效參數(shù)，通過不同檢測方法進(jìn)行了實驗驗證和性能分析，該數(shù)據(jù)融合技術(shù)能較大程度提高入侵檢測系統(tǒng)的有效性和準(zhǔn)確性，作為一種入侵檢測技術(shù)具有較強(qiáng)的實用價值。

關(guān)鍵詞：數(shù)據(jù)融合；多參數(shù)；漏報率；準(zhǔn)確性

中圖分類號：TP311.52 文獻(xiàn)標(biāo)識碼：A 文章編號：1007—9599 （2012） 14—0000—02

一、引言

多傳感器的數(shù)據(jù)融合入侵檢測系統(tǒng)（Intrusion Detection Systems）簡稱IDS，最早出現(xiàn)在20世紀(jì)70年代軍事領(lǐng)域，現(xiàn)在已經(jīng)成功應(yīng)有于諸多民用方面。其中的數(shù)據(jù)融合技術(shù)，是指對多個數(shù)據(jù)源的信息檢測、評估、匯總處理的全方位的加工過程[6]。在未來的IDS發(fā)展趨勢就是通過各種傳感器獲取融合數(shù)據(jù)，形成對網(wǎng)絡(luò)系統(tǒng)的合理評估。

二、多傳感器數(shù)據(jù)融合系統(tǒng)模型框架

（一）數(shù)據(jù)融合系統(tǒng)模型框架分類

從整體上來說，一個數(shù)據(jù)融合系統(tǒng)主要由傳感器、管理模塊、融合優(yōu)化模塊、數(shù)據(jù)傳輸?shù)饶K構(gòu)成。按照傳感器構(gòu)成方式可以分為集中式、分布式兩種方式。

1.集中式結(jié)構(gòu)圖1就是獲得各個傳感器的數(shù)據(jù)并集中到數(shù)據(jù)融合中心，由數(shù)據(jù)處理中心完成各種數(shù)據(jù)處理，最終通過數(shù)據(jù)傳輸通道輸出最終決策。

2.分布式結(jié)構(gòu)，由于數(shù)據(jù)融合檢測檢測中心（Date Fusion Intrusion Detection Mechanism）采用的并行分布融合系統(tǒng)以下簡稱DFIDM，。由于在串行鏈路中發(fā)生故障時會導(dǎo)致整個系統(tǒng)癱瘓，故串行結(jié)構(gòu)應(yīng)用場合比較少，因此多采用分布式結(jié)構(gòu)如圖2。

（二）DFIDM系統(tǒng)的功能

首先通過遍布系統(tǒng)各處的分布式傳感器（Distributing Sensors）以下簡稱DS獲取原始數(shù)據(jù)，原始數(shù)據(jù)經(jīng)過校準(zhǔn)過濾后填寫標(biāo)準(zhǔn)的原始數(shù)據(jù)記錄庫，并形成相關(guān)對象，在時間（或空間）上相關(guān)聯(lián)，配對、分類，形成一個基于對象的集合，利用融合決策算法，對狀態(tài)進(jìn)行提取以形成對入侵行為的威脅評估（TA），根據(jù)威脅評估進(jìn)行最終決策，DFIDM各功能模塊如圖3所示。

三、DFIDM算法數(shù)學(xué)模型

（一）數(shù)學(xué)模型設(shè)計

如果多種入侵行為同時入侵多個設(shè)備，可將其擴(kuò)展為多目標(biāo)多傳感器多元融合系統(tǒng)。硬件設(shè)計和函數(shù)關(guān)聯(lián)的方法是一致的。

（二）數(shù)據(jù)融合的基本步驟

數(shù)據(jù)融合的最終決策結(jié)果表示為各影響因素的函數(shù)。由于無論對函數(shù)f的準(zhǔn)確性怎樣進(jìn)行優(yōu)化，其它外界因素實際上對決策結(jié)果施加的影響大小，都難以被準(zhǔn)確數(shù)值的反映出來。因此DFIDM的最終決策結(jié)果以定性分析為主，定量計算為輔。

1.定量公式計算

設(shè)最終決策為一維數(shù)組 表示，其分量 表示對第j種入侵行為的決策值，將所有因素等同考慮，則可得：

2.可靠性系數(shù)的調(diào)整

DFIDM維護(hù)一個基于各檢測器可靠性系數(shù)為 ，一般地， 為第i個檢測器對第j種入侵行為的可靠性系數(shù)，并根據(jù)系統(tǒng)實際性能不斷對其進(jìn)行調(diào)整。融合過程的檢測器可靠性系數(shù)值記為 ，從系統(tǒng)角度來看，考慮到各檢測器的可靠性本身具有相同的權(quán)值，n表示從各個檢測器獲得數(shù)據(jù)權(quán)值個數(shù)。簡化起見，DFIDM將函數(shù)設(shè)定為算術(shù)平均和公式（5）。

3.處理與響應(yīng)辦法

在得到最終融合可靠性系數(shù) 后， 是一個關(guān)于 的函數(shù)，系統(tǒng)還需要提供閾值A(chǔ)和判決結(jié)果函數(shù) 。

當(dāng)系統(tǒng)具有低、中、高響應(yīng)辦法時，閾值A(chǔ)和判決函數(shù)f（）的方式表1如下所示：

四、DFIDM準(zhǔn)確性與性能優(yōu)化實驗結(jié)果分析

（一）實驗準(zhǔn)備

實驗環(huán)境為1個融合中心FC（網(wǎng)絡(luò)服務(wù)器內(nèi)存容量至少1G），5個終端設(shè)備（PC奔騰系列），攻擊數(shù)據(jù)由1臺PC奔騰配置提供。

（二）評價指標(biāo)漏報率計算方法

（三）漏報率的比較實驗

五、結(jié)論

通過對單目標(biāo)和多目標(biāo)的情況進(jìn)行理論分析，結(jié)合數(shù)據(jù)融合技術(shù)中的分布式多傳感器系統(tǒng)，構(gòu)造數(shù)學(xué)模型，通過確鑿的實驗數(shù)據(jù)，提出了一種新型基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)入侵檢測機(jī)制DFIDM。

參考文獻(xiàn)：

[1]Bass， T.， Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems， 1999 IRIS National Symposium on Sensor and Data Fusion， May 1999.

[2]Bass， T.， Cyberspace Situational Awareness Demands Mimic Traditional Command Requirements， Signal Magazine， AFCEA， February 2000.

[3]Nils J.Nilsson， Artificial Intelligence： A New Synthesis， Morgan Kaufmann Publishers，Inc.，1998.

[4]Angeline P， Using selection to improve particle swarm optimization[A].Proceedings of IJCNN'' 99[C].Washington， USA .1999：84—89.

[5]Cristoph F.Eick and Nikhil N Mehta， Decision making involving imperfect knowledge， IEEE Transactions on Systems， Man， and Cybernetics， Vol.23， No.3， May/June 1993.

[6]楊鵬，羅光春，盧顯良.一種基于多參數(shù)的IDS決策過程[J].電子科技大學(xué)學(xué)報，2006，5（35）803—810.