电子科技大学计算机入侵检测技术2.ppt

第二章基于多传感器数据融合的入侵检测技术 四、对象提取 OR （ Object Refinement ） 5 、工作流程如图 2.13 所示 来自各节点的 LDM 1 ， 2 ,... ， n ODC SDC TDC 存放原始数据的对 象集合 存放时间标记相 同的对象集合 存放按特定规则选取 后的对象集合，例如 相同入侵类型的集合 输出到 TA 图 2.13 OR 的工作流程图 第二章基于多传感器数据融合的入侵检测技术 四、对象提取 OR （ Object Refinement ） 接收各节点 LDM1,2,…,n 并存入 ODC 中 每个 WT 对 ODC 内的对象进行一次处理 该对象所对应时间标 记的集合是否存在 ? 是 将该对象加入 SDC 中 的相应集合 创建集合，并将该对象加入 SDC 中相应集合 START 系统对 SDC 内的各集合不断轮询 集合创建时间 =DV? 系统将该集合内各元素，按不同入侵类型重新划分并形成集合 群，存入 TDC 否 否 是 END 图 2.13 OR 的工作流程图 第二章基于多传感器数据融合的入侵检测技术 第七节 融合与最终决策 本节讨论 DFIDM 的最后一个部分 TA （ Threaten Assessment ），其作用主要有三个，即融合策略与 算法、威胁评估以及启动响应办法。 一、各本地决策与本地检测器的可靠性系数 1 、可靠性系数的调整 DFIDM 维护一个基于各检测器可靠性系数的二维矩 阵 ，一般地， 为第 i 个检测器对第 j 种入侵行为的可 靠性系数，并根据系统实际性能不断对其进行调整。 第二章基于多传感器数据融合的入侵检测技术 一、各本地决策与本地检测器的可靠性系数 2 、可靠性系数的计算 将一次融合过程的检测器可靠性系数值记为 , 并应用于最终融合决策公式的计算中。从系统角度 来看，考虑到各检测器的可靠性本身具有相同的可 信度，简化起见， DFIDM 将函数 g 设定为算术平均 和，即 ： n n i ij j ? ? ? ? ? 1 第二章基于多传感器数据融合的入侵检测技术 第七节 融合与最终决策 二、根据入侵检测系统的实际需要， DFIDM 在进行融合决 策时还引入了空间因素、时序因素、历史记录、人工 加权这四个主要因素： 1 、空间因素，是指目标系统各节点上检测器对同一种入侵行为 的联合预警。 2 、时序因素，是指当真实攻击发生时，各节点由于网络拓扑和 路由的不同，可能在对同一入侵行为的检测上出现异步性。 3 、历史记录因素可针对具有一定规律的入侵行为提高准确性， 本文仅选取特定的攻击源 IP 地址段这一情况加以分析。为此，系 统维护一个对应于攻击类型来源的列表，使用可变阶二维矩阵表 达。 4 、鉴于入侵行为并非完全按可预知的方式进行，而常常具有突 发性、阶段性，在融合因素中人为的权衡也有其存在的合理性， 为此引入了人为判断系数。 第二章基于多传感器数据融合的入侵检测技术 第七节 融合与最终决策 三、融合结果 最终决策结果表达为各影响因素的函数。 由于无论对函数 f 的准确性怎样进行优化，这 5 个因素 实际上应该对决策结果施加的影响大小，都难以被准 确的反映为具体数值。 DFIDM 的最终决策结果以定性 分析为主，定量计算为辅。 ) , , , , ( ? ? ? ? ? ? ? f 第二章基于多传感器数据融合的入侵检测技术 三、融合结果 1 、定性结果的描述 系统能详细、规范地对融合过程中所涉及的因素进行描述， 并提交相关报告，系统管理者能很详细地对目标系统中可能发 生的各类入侵状况进行了解，并在此基础上进行相应处理。 2 、定量公式计算 设系统最终决策为 Z ，可用一维数组表达，其分量 表 示对第 j 种入侵行为的决策值，将所有因素等同考虑，则可得： q j j j j j j ) ( ? ? ? ? ? ? ? ? ? ? ? 第二章基于多传感器数据融合的入侵检测技术 计算机入侵检测技术 — 基于多传感器数据融合的入侵检测技术 第二章基于多传感器数据融合的入侵检测技术 第二章 基于多传感器数据融合的入侵检测 技术 第一节 引言 下一代的 IDS 需要通过各种异质的分布式网络传感 器来获取并融合数据，以形成对网络系统的态势估计。 这样的 IDS 用到了多传感器数据融合技术，其概念 最早出现于 20 世纪 70 年代的军事领域，具有较强的军 事特色它已成功应用于军事和民用的诸多方面。 定义 2.1 数据融合（ Data Fusion ）：是一个多级多侧 面的加工过程，包括对多个数据源的数据和信息的自 动化检测、互联、相关、估计和组合处理。 第二章基于多传感器数据融合的入侵检测技术 第一节 引言 本章的主要内容包括： 1 、提出了一种新型基于多传感器数据