基于數(shù)據(jù)融合技術(shù)的分布式入侵檢測系統(tǒng)的研究與實現(xiàn).pdf

1、隨著Internet的飛速發(fā)展,互聯(lián)網(wǎng)所面對的和隱藏的安全威脅越來越復(fù)雜,越來越嚴重。作為網(wǎng)絡(luò)安全的一個重要組件,入侵檢測系統(tǒng)將發(fā)揮著越來越重要的作用。但是現(xiàn)有的大多數(shù)入侵檢測系統(tǒng)仍然存在誤報、漏報率高的缺陷。
　　數(shù)據(jù)融合是一種多層次、多方面的處理過程,它對多源數(shù)據(jù)進行檢測、相關(guān)、估計和組合以達到精確的狀態(tài)估計和身份估計及完整、及時的態(tài)勢和威脅評估。本文將數(shù)據(jù)融合技術(shù)應(yīng)用于分布式入侵檢測系統(tǒng),構(gòu)建了一種新的基于數(shù)據(jù)融合技術(shù)的樹型

2、分布式入侵檢測系統(tǒng)模型,它能有效地降低誤報、漏報率,而且有較好的自適應(yīng)性和擴展性,能夠適應(yīng)大規(guī)模高速網(wǎng)絡(luò)的發(fā)展。同時,整個系統(tǒng)可以完全在windows下實現(xiàn),方便了管理員和用戶的使用。
　　在系統(tǒng)低層上,本文使用并改進了基于警報數(shù)據(jù)融合的過濾算法,用中間管理控制代理收集并統(tǒng)計分析局部檢測代理警報,產(chǎn)生并自動更新過濾規(guī)則,局部代理依據(jù)這些過濾規(guī)則可以濾除大量誤報。改進的過濾算法加快了過濾規(guī)則的更新,能夠更好更準地濾除當前出現(xiàn)的誤報。

3、高層上,應(yīng)用D-S證據(jù)理論融合所有局部代理檢測結(jié)果,并在此基礎(chǔ)上,將檢測分為幾個周期,進一步融合不同周期的檢測結(jié)果,得出一個更優(yōu)的全局檢測結(jié)果。局部決策空間融合結(jié)合了主機代理和網(wǎng)絡(luò)代理檢測方面的優(yōu)勢,克服了單一檢測的缺點;不同周期融合進一步降低了識別目標的不確定性,提高了系統(tǒng)檢測率。
　　系統(tǒng)在初步實驗中采用了MIT林肯實驗室數(shù)據(jù)集DARPA1999部分數(shù)據(jù)作為檢測數(shù)據(jù)源。實驗結(jié)果表明,系統(tǒng)對DoS攻擊的檢測率可以達到69％,單一