2023年基于证据推理算法的入侵检测系统设计方案

2023年基于证据推理算法的入侵检测系统设计方案今日我给大家带来了2023基于证据推理算法的入侵检测系统设计方案，有需要的小伙伴一起来参考一下吧，盼望能给大家带来帮忙！

数据融合算法是入侵检测系统设计的核心内容，对于“不知道”与”不确定”信息的处理，证据推理算法具有非常突出的特点，已成为数据融合算法的热点。为了避开焦元爆炸问题，该文采纳一种可有效削减证据合成计算量又可确保合成实时性精确性数据融合算法。为了解决分布式系统中主控端与各入侵检测终端之间的通信问题，引入分布式协同算法，并在此根底上，设计一种分布式入侵检测系统。

入侵检测系统是一种积极主动的安全防护机制，不仅能够防备对来自外网入侵攻击，还能有效地防止内网的攻击和机密信息的泄漏，入侵检测系统有效地提高网络安全的整体水平，它已经成为网络信息安全领域的讨论热点。

1概述

论据推理理论是入侵检测系统中应用最为广泛的数据融合算法，已成为一种最适合的不确定推理方法。它不需要任何先验的概率，直接利用区间信度刻画证据度量和命题结果，处理“不确定”与“不知道”的信息，约束条件宽松，与经典的概率论、贝叶斯理论有着本质的区分。尽管如此，若入侵检测技术采纳传统的证据理论进展数据融合计算，在网络环境各种干扰和噪声的影响下，系统中攻击行为、入侵大事与恶意企图等网络入侵目标的识别力量急剧下降，漏报率和误报率增加，因此，需要改良传统的证据理论，使其适合网络入侵检测技术。

2证据合成算法的讨论与改良

在入侵检测系统中，对于各子系统上报的可疑行为，需要对来自各个多个信息源的数据进展关联、估量和组合等处理，从而进展识别推断。证据理论就是用于数据融合的算法之一。

2.1D-S证据理论

证据推理是由Dempster首先提出的，并由Shafer进一步完善进展起来的，所以又称作Dempster-Shafer证据理论或D-S证据理论。

D-S证据推理是从经典的集合论的根底上进展而来的。设为某一的区分框架非空的集合，且各元素之间满意互斥条件，其全部的子集构成幂集2。则根本信任指派函数可表达为[BPA：mA0，1]，其中A为幂集2中任一子集，表示证据支持命题A发生的程度[mA]。

上式K表示两个证据体突冲程度的度量，也是描述是否适用证据推理算法的依据。假如K=1，则证据体完全冲突，D-S融合算法失效；假如K值较小，则证据体是全都的，可以使用归一化处理。

实践证明：利用传统的证据合成规章在合成不同证据时消失的计算简单度问题属于NP完全问题，计算简单度随识别框架的基数的增加而成指数增加，极大的计算量限制了其应用。

2.2基于D-S证据理论的算法改良

（1）相关函数

Dubois和Prade认为证据理论中焦元的基数和焦元的根本概率赋值信息是证据的构成的重要因素，因此，改良算法选择参加融合的焦元的标准不是焦元的根本概率赋值，而是以证据的平均能量函数作为评判的选择标准，平均能量函数可包括证据的焦元能量函数和平均能量函数。

（2）分类规章

假如采纳焦元能量函怠⒅ぞ萜骄能量函数作为合成过程中焦元的分类规章，则可将焦元分为两类：

保存焦元（焦元的能量大于或等于证据的平均能量）和抛弃焦元（焦元的能量小于证据的平均能量）。

其中，[Nib，Nip，Ni]分别为证据保存焦元集中的焦元（命题）个数、抛弃焦元集中的焦元个数以及证据i所支持的焦元个数。

焦元分类规章能够较为准确的区分识别框架Q中全部的证据体必要融合计算的焦元和对组合计算最终抛弃的焦元。即参加组合计算的焦元将准确标出，这样就大大减小了推理合成的计算量，避开焦元爆炸的现象。

（3）算法描述

假如被抛弃的焦元中的一些信息假如不参加证据合成计算，那么，可能会使最终决策结果产生偏差，即据证丧失可能影响最终的判决结果。因此，对于抛弃的焦元，需要对其根本概率赋值进展再安排，使抛弃焦元自身携带的有用信息得以有效利用，参加到决策结论的判决过程中。这样，不会因抛弃焦元的有用信息不会损失而使判决结果有较大的偏差。

设[Pk]为[SiP]中一焦元，为与之相关的集合，[BG]为[SiB]中与[Pk]相交不为空的焦元组成的集合；假如[SiB]中与[Pk]相交不为空则可推断所抛弃的焦元中含有用的信息理论不会影响结果，因此，只需考虑集合[BG]。对抛弃焦元[Dk]的根本概率赋值再次安排时，只要将抛弃焦元的根本概率赋值安排在有嵌套关系或相交的焦元集上。当抛弃焦元与全部保存焦元相交为空时，将其根本概率赋值安排给未知命题Q。

抛弃焦元根本概率赋值重新安排方法如下：

（1）终端T0即主控中心对于全部的入侵检测任务，假如有mi?M，则查询本体的攻击特征入侵规章库，得悉该任务多个原子攻击序列组成，A={a1，a2，，an}，此时，主控中心向全部入侵检测终端Tn播送消息序列，分发入侵的检测结果。

（2）收到主控中心订阅消息后，各终遄Tn向主控中心T0回复一条确认消息。

（3）各入侵检测终端Tn假如检测到了入侵行为或恶意攻击时，主动向主控中心T0发送入侵告警消息。

（4）主控中心T0对收到来自各个入侵检测终端的原子入侵消息（包括T0自身汇报的和从其他T汇报的）进展关联分析，建立检测模型，通过融合计算，推断是否存在入侵企图或存在的攻击等威逼，并向网络治理者发出报警或主动切断网络的连接。

各入侵检测终端Tn所担当的分析任务是发觉网段内的协同攻击，其分析依据是来自各自检测信息以及从主控中心订阅的原子入侵报警（协同其他入侵检测终端或T0）。主控中心T0对于收集到的终端Tn上报的信息集合，进展关联分析，试图找出各个入侵者全部可能的关联方式，即全部可能的入侵者组合的集合。

4改良算法的实现

入侵检测系统将向其他终端Tn订阅入侵消息的终端T0定义为主控端，定义T0自身检测信息以及其他Tn的原子入侵报警信息为证据。

参加主控端T0融合的证据来源于T0自身及其他Tn，主控中心T0和其他入侵检测终端Tn具有局部检测分析的功能，独立性很强，需要对对局部检测分析报告大事或存在的攻击可能行为进展明确的定义。各终端上报T0的大事格式需要适用入侵检测分析环境的不同、检测的技术方式的差异。因而需要对可疑大事的报告格式进展定义。定义格式如表1所示。

只要各终端T猎取可疑大事相应的局部决策表，利用分布式协同算法，上报主控端T0由主控端最终融合计算，得出检测结论。

设各终端上报的可疑大事i的证据体为[Aj，miAjj=1，2，，N]，运用改良算法进展融合的流程图如图2所示。

改良的证据推理算法步骤如下：

①侗鹂蚣苤械慕乖安照保存下焦元和抛弃焦元进展分类，并计算焦元能量函数、证据平均能量函数；

②计算抛弃焦元的根本概率赋值，依据根本概率值实现抛弃焦元再安排，削减因抛弃焦元因携带有用信息而对融合结果产生的偏差；

③依据证据合成规章，融合推断是否有入侵大事，并获得最终融合