基于數(shù)據(jù)融合技術(shù)的入侵檢測系統(tǒng)研究.pdf

1、隨著信息技術(shù)和計算機(jī)網(wǎng)絡(luò)的快速發(fā)展，信息和網(wǎng)絡(luò)系統(tǒng)的安全變得至關(guān)重要。繼防火墻、VPN、數(shù)據(jù)加密等傳統(tǒng)安全保護(hù)措施之后，入侵檢測成為新一代的安全保障技術(shù)。作為一種主動的網(wǎng)絡(luò)安全防護(hù)技術(shù)，入侵檢測提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控，在系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但是目前入侵檢測系統(tǒng)主要存在著孤立報警、誤報率高、檢測率低等問題，如何解決這些問題成為當(dāng)前安全領(lǐng)域的研究熱點之一。
　　數(shù)據(jù)融合是一種多層次、多方面的數(shù)據(jù)處理技

2、術(shù)，它對多源數(shù)據(jù)進(jìn)行檢測、聯(lián)合、相關(guān)、組合以達(dá)到精確的狀態(tài)估計和身份估計，以及完整、及時的態(tài)勢評估和威脅評估。目前，數(shù)據(jù)融合技術(shù)在入侵檢測領(lǐng)域中的應(yīng)用還需要進(jìn)一步研究。
　　本文分析了當(dāng)前入侵檢測技術(shù)及數(shù)據(jù)融合技術(shù)的現(xiàn)狀，針對目前入侵檢測系統(tǒng)存在的不足，將數(shù)據(jù)融合技術(shù)應(yīng)用到分布式入侵檢測系統(tǒng)的報警處理模塊中，提出了一個基于數(shù)據(jù)融合技術(shù)的分布式入侵檢測系統(tǒng)模型。該模型對報警數(shù)據(jù)分層次融合處理，分別完成報警數(shù)據(jù)采集、數(shù)據(jù)預(yù)處理、報警數(shù)

3、據(jù)融合、攻擊企圖分析、態(tài)勢評估和威脅評估等功能。
　　針對模型中數(shù)據(jù)預(yù)處理層和報警數(shù)據(jù)融合層的功能需求，設(shè)計并實現(xiàn)了報警數(shù)據(jù)融合算法。在數(shù)據(jù)預(yù)處理層引入了自適應(yīng)報警融合算法，降低單個IDS的報警數(shù)據(jù)量，并通過融合過程中自適應(yīng)調(diào)整系統(tǒng)報警的滯留時間閾值來提高系統(tǒng)的適應(yīng)能力；在報警數(shù)據(jù)融合層采用模糊綜合評判的數(shù)據(jù)融合算法來降低報警數(shù)據(jù)量，并引入了報警確信度學(xué)習(xí)模塊，提高報警的準(zhǔn)確度。
　　最后通過實驗驗證了本文提出的報警數(shù)據(jù)融合