數(shù)據(jù)融合技術(shù)在分布式入侵檢測中的應(yīng)用研究.pdf

1、隨著計算機網(wǎng)絡(luò)和信息技術(shù)的廣泛應(yīng)用，信息和網(wǎng)絡(luò)系統(tǒng)的安全變的至關(guān)重要。入侵檢測技術(shù)是繼防火墻、VPN、數(shù)據(jù)加密等傳統(tǒng)安全保護措施后新一代的安全保障技術(shù)。它作為一種積極主動的網(wǎng)絡(luò)安全防護技術(shù)，提供了對內(nèi)部攻擊、外部攻擊和誤操作的實時監(jiān)控，在系統(tǒng)受到危害之前攔截和響應(yīng)入侵。但由于網(wǎng)絡(luò)規(guī)模的不斷擴大，網(wǎng)絡(luò)結(jié)構(gòu)的不斷復(fù)雜，面對大規(guī)模、分布式的攻擊，傳統(tǒng)單一的入侵檢測技術(shù)已經(jīng)很難滿足系統(tǒng)的安全需要。目前入侵檢測系統(tǒng)主要存在著高誤報率、大量冗余報警

2、信息和很難發(fā)現(xiàn)時間上分散的分步驟復(fù)雜攻擊等問題，因此如何解決這些問題成為當前安全領(lǐng)域的研究熱點之一。 數(shù)據(jù)融合技術(shù)是一種多層次、多方面的處理過程。這個過程是對多源數(shù)據(jù)進行檢測、聯(lián)合、相關(guān)、估計和組合以達到精確的狀態(tài)估計和身份攻擊，以及完整、及時的態(tài)勢評估和威脅評估。目前，數(shù)據(jù)融合技術(shù)已經(jīng)成功的應(yīng)用于軍事、地質(zhì)和醫(yī)藥等多個領(lǐng)域，但在入侵檢測領(lǐng)域中的應(yīng)用還處在理論研究階段。 論文分析了當前入侵檢測系統(tǒng)的現(xiàn)狀及數(shù)據(jù)融合技術(shù)，針

3、對目前入侵檢測系統(tǒng)存在的不足之處，將數(shù)據(jù)融合技術(shù)應(yīng)用到分布式入侵檢測中，通過深入研究幾個經(jīng)典的數(shù)據(jù)融合模型，提出了一個適合分布式入侵檢測的報警融合模型。該模型同樣采用數(shù)據(jù)的多層次處理，分別完成報警提取、報警融合、攻擊企圖分析、態(tài)勢評估和威脅評估等功能，并動態(tài)地反饋、調(diào)整網(wǎng)絡(luò)中的各個檢測組件，加強對與攻擊意圖相關(guān)的數(shù)據(jù)檢測，進而提高入侵檢測系統(tǒng)的檢測效率、抑制海量報警、減少報警的誤報和漏報。論文還針對報警融合模塊的功能需求，設(shè)計并實現(xiàn)了一