2018年基于证据推理算法的入侵检测系统设计方案

2018 年基于证据推理算法的入侵检测年基于证据推理算法的入侵检测 系统设计方案系统设计方案 今天小编给大家带来了 2018 基于证据推 理算法的入侵检测系统设计方案 有需要的小火伴 1 起来参考 1 下吧 希望能给大家带来帮助 数据融会算法是入侵检测系统设计的核心内容 对不知道与 不肯定信息的处理 证据推理算法具有 10 分突出的特点 已成 为数据融会算法的热门 为了不焦元爆炸问题 该文彩用 1 种 可有效减少证据合成计算量又可确保合成实时性准确性数据融 会算法 为了解决散布式系统中主控端与各入侵检测终端之间 的通讯问题 引入散布式协同算法 并在此基础上 设计 1 种 散布式入侵检测系统 入侵检测系统是1 种积极主动的安全防护机制 不但能够防 御对来自外网入侵攻击 还能有效地避免内网的攻击和机密信 息的泄漏 入侵检测系统有效地提高网络安全的整体水平 它 已成为网络信息安全领域的研究热门 1 概述 论据推理理论是入侵检测系统中利用最为广泛的数据融会算 法 已成为 1 种最合适的不肯定推理方法 它不需要任何先验 的几率 直接利用区间信度刻画证据度量和命题结果 处理不 肯定与不知道的信息 束缚条件宽松 与经典的几率论 贝叶 斯理论有着本质的区分 虽然如此 若入侵检测技术采取传统 的证据理论进行数据融会计算 在网络环境各种干扰和噪声的 影响下 系统中攻击行动 入侵事件与歹意企图等网络入侵目 标的辨认能力急剧降落 漏报率和误报率增加 因此 需要改 进传统的证据理论 使其合适网络入侵检测技术 2 证据合成算法的研究与改进 在入侵检测系统中 对各子系统上报的可疑行动 需要对来 自各个多个信息源的数据进行关联 估计和组合等处理 从而 进行辨认判断 证据理论就是用于数据融会的算法之 1 2 1 D S 证据理论 证据推理是由Dempster 首先提出的 并由 Shafer 进 1 步完善 发展起来的 所以又称作 Dempster Shafer 证据理论或 D S 证据 理论 D S证据推理是从经典的集合论的基础上发展而来的 设 为某 1 的辨别框架非空的集合 且各元素之间满足互斥 条件 其所有的子集构成幂集 2 则基本信任指派函数 可表达为 BPA mA0 1 其中 A 为幂集 2中任 1 子集 表示证据支持命题 A 产生的程度 mA 上式K 表示两个证据体突冲程度的度量 也是描写是不是适 用证据推理算法的根据 如果 K 1 则证据体完全矛盾 D S 融 会算法失效 如果 K 值较小 则证据体是 1 致的 可使用归 1 化处理 实践证明 利用传统的证据合成规则在合成不同证据时出现 的计算复杂度问题属于 NP 完全问题 计算复杂度随辨认框架 的基数的增加而成指数增加 极大的计算量限制了其利用 2 2 基于 D S 证据理论的算法改进 1 相干函数 Dubois和 Prade 认为证据理论中焦元的基数和焦元的基本几 率赋值信息是证据的构成的重要因素 因此 改进算法选择参 与融会的焦元的标准不是焦元的基本几率赋值 而是以证据的 平均能量函数作为评判的选择标准 平均能量函数可包括证据 的焦元能量函数和平均能量函数 2 分类规则 如果采取焦元能量函怠 萜骄能量函数作为合成进程中焦 元的分类规则 则可将焦元分为两类 保存焦元 焦元的能量大于或等于证据的平均能量 和抛弃 焦元 焦元的能量小于证据的平均能量 其中 Nib Nip Ni 分别为证据保存焦元集中的焦元 命题 个数 抛弃焦元集中的焦元个数和证据 i 所支持的焦元个数 焦元分类规则能够较为精确的辨别辨认框架Q 中所有的证据 体须要融会计算的焦元和对组合计算终究抛弃的焦元 即参与 组合计算的焦元将精确标出 这样就大大减小了推理合成的计 算量 避免焦元爆炸的现象 3 算法描写 如果被抛弃的焦元中的1 些信息如果不参与证据合成计算 那末 可能会使终究决策结果产生偏差 即据证丢失可能影响 终究的判决结果 因此 对抛弃的焦元 需要对其基本几率赋 值进行再分配 使抛弃焦元本身携带的有用信息得以有效利用 参与到决策结论的判决进程中 这样 不会因抛弃焦元的有用 信息不会损失而使判决结果有较大的偏差 设 Pk 为 SiP 中 1 焦元 为与之相干的集合 BG 为 SiB 中与 Pk 相交不为空的焦元组成的集合 如果 SiB 中与 Pk 相交不为 空则可判断所抛弃的焦元中含有用的信息理论不会影响结果 因此 只需斟酌集合 BG 对抛弃焦元 Dk 的基本几率赋值再次 分配时 只要将抛弃焦元的基本几率赋值分配在有嵌套关系或 相交的焦元集上 当抛弃焦元与所有保存焦元相交为空时 将 其基本几率赋值分配给未知命题 Q 抛弃焦元基本几率赋值重新分配方法以下 1 终端 T0 即主控中心对所有的入侵检测任务 如果有 mi M 则查询本体的攻击特点入侵规则库 得悉该任务 多个原子攻击序列组成 A a1 a2 an 此时 主控中心向 所有入侵检测终端 Tn 广播消息序列 分发入侵的检测结果 2 收到主控中心定阅消息后 各终遄 Tn 向主控中心 T0 回复 1 条确认消息 3 各入侵检测终端 Tn 如果检测到了入侵行动或歹意攻击 时 主动向主控中心 T0 发送入侵告警消息 4 主控中心 T0 对收到来自各个入侵检测终真个原子入侵 消息 包括 T0 本身汇报的和从其他 T 汇报的 进行关联分析 建立检测模型 通过融会计算 判断是不是存在入侵企图或存 在的攻击等要挟 并向网络管理者发出报警或主动切断网络的 连接 各入侵检测终端Tn 所承当的分析任务是发现网段内的协同攻 击 其分析根据是来自各自检测信息和从主控中心定阅的原子 入侵报警 协同其他入侵检测终端或 T0 主控中心 T0 对搜集 到的终端 Tn 上报的信息集合 进行关联分析 试图找出各个入 侵者所有可能的关联方式 即所有可能的入侵者组合的集合 4 改进算法的实现 入侵检测系统将向其他终端Tn 定阅入侵消息的终端 T0 定义 为主控端 定义 T0 本身检测信息和其他 Tn 的原子入侵报警信 息为证据 参与主控端T0 融会的证据来源于 T0 本身及其他 Tn 主控中 心 T0 和其他入侵检测终端 Tn 具有局部检测分析的功能 独立 性很强 需要对对局部检测分析报告事件或存在的攻击可能行 动进行明确的定义 各终端上报 T0 的事件格式需要适用入侵检 测分析环境的不同 检测的技术方式的差异 因此需要对可疑 事件的报告格式进行定义 定义格式如表 1 所示 只要各终端T 获得可疑事件相应的局部决策表 利用散布式 协同算法 上报主控端 T0 由主控端终究融会计算 得出检测结 论 设各终端上报的可疑事件i 的证据体为 Aj miAjj 1 2 N 应用改进算法进行融会的流程图如图 2 所示 改进的证据推理算法步骤以下 侗鹂蚣苤械慕乖安照保存下焦元和抛弃焦元进行分 类 并计算焦元能量函数 证据平均能量函数 计算抛弃焦元的基本几率赋值 根据基本几率值实现抛弃 焦元再分配 减少因抛弃焦元因携带有用信息而对融会结果产 生的偏差 根据证据合成规则 融会判断是不是有