基于证据推理算法的入侵检测系统

王伍柒+周立萍

摘要：数据融合算法是入侵检测系统设计的核心内容，对于“不知道”与”不确定”信息的处理，证据推理算法具有十分突出的特点，已成为数据融合算法的热点。为了避免焦元爆炸问题，该文采用一种可有效减少证据合成计算量又可确保合成实时性准确性数据融合算法。为了解决分布式系统中主控端与各入侵检测终端之间的通信问题，引入分布式协同算法，并在此基础上，设计一种分布式入侵检测系统。

关键词：数据融合；入侵检测；证据推理；分布式协同算法

中图分类号：TP393 文献标识码：A 文章编号：1009-3044（2017）28-0032-03

入侵检测系统是一种积极主动的安全防护机制，不仅能够防御对来自外网入侵攻击，还能有效地防止内网的攻击和机密信息的泄漏，入侵检测系统有效地提高网络安全的整体水平，它已经成为网络信息安全领域的研究热点。

1 概述

论据推理理论是入侵检测系统中应用最为广泛的数据融合算法，已成为一种最适合的不确定推理方法。它不需要任何先验的概率，直接利用区间信度刻画证据度量和命题结果，处理“不确定”与“不知道”的信息，约束条件宽松，与经典的概率论、贝叶斯理论有着本质的区别。尽管如此，若入侵检测技术采用传统的证据理论进行数据融合计算，在网络环境各种干扰和噪声的影响下，系统中攻击行为、入侵事件与恶意企图等网络入侵目标的识别能力急剧下降，漏报率和误报率增加，因此，需要改进传统的证据理论，使其适合网络入侵检测技术。

2 证据合成算法的研究与改进

在入侵检测系统中，对于各子系统上报的可疑行为，需要对来自各个多个信息源的数据进行关联、估计和组合等处理，从而进行识别判断。证据理论就是用于数据融合的算法之一。

2.1 D-S证据理论

证据推理是由Dempster首先提出的，并由Shafer进一步完善发展起来的，所以又称作Dempster-Shafer证据理论或D-S证据理论。

D-S证据推理是从经典的集合论的基础上发展而来的。设Θ为某一的辨别框架非空的集合，且各元素之间满足互斥条件，其所有的子集构成幂集2Θ。则基本信任指派函数可表达为[BPA：mA→0，1]，其中A为幂集2Θ中任一子集，表示证据支持命题A发生的程度[mA] 。

上式K表示两个证据体突冲程度的度量，也是描述是否适用证据推理算法的依据。如果K=1，则证据体完全矛盾，D-S融合算法失效；如果K值较小，则证据体是一致的，可以使用归一化处理。

实践证明：利用传统的证据合成规则在合成不同证据时出现的计算复杂度问题属于NP完全问题，计算复杂度随识别框架的基数的增加而成指数增加，极大的计算量限制了其应用。

2.2 基于D-S证据理论的算法改进

（1） 相关函数

Dubois和Prade认为证据理论中焦元的基数和焦元的基本概率赋值信息是证据的构成的重要因素，因此，改进算法选择参与融合的焦元的标准不是焦元的基本概率赋值，而是以证据的平均能量函数作为评判的选择标准，平均能量函数可包括证据的焦元能量函数和平均能量函数。

（2） 分类规则

如果采用焦元能量函數、证据平均能量函数作为合成过程中焦元的分类规则，则可将焦元分为两类：

保留焦元（焦元的能量大于或等于证据的平均能量）和抛弃焦元（焦元的能量小于证据的平均能量）。

其中，[Nib，Nip，Ni]分别为证据保留焦元集中的焦元（命题）个数、抛弃焦元集中的焦元个数以及证据i所支持的焦元个数。

焦元分类规则能够较为精确的区分识别框架Q中所有的证据体须要融合计算的焦元和对组合计算最终抛弃的焦元。即参与组合计算的焦元将精确标出，这样就大大减小了推理合成的计算量，避免焦元爆炸的现象。

（3） 算法描述

如果被抛弃的焦元中的一些信息如果不参与证据合成计算，那么，可能会使最终决策结果产生偏差，即据证丢失可能影响最终的判决结果。因此，对于抛弃的焦元，需要对其基本概率赋值进行再分配，使抛弃焦元自身携带的有用信息得以有效利用，参与到决策结论的判决过程中。这样，不会因抛弃焦元的有用信息不会损失而使判决结果有较大的偏差。

设[Pk]为[SiP]中一焦元，为与之相关的集合，[BG]为[SiB]中与[Pk]相交不为空的焦元组成的集合；如果[SiB]中与[Pk]相交不为空则可判断所抛弃的焦元中含有用的信息理论不会影响结果，因此，只需考虑集合[BG]。对抛弃焦元[Dk]的基本概率赋值再次分配时，只要将抛弃焦元的基本概率赋值分配在有嵌套关系或相交的焦元集上。当抛弃焦元与所有保留焦元相交为空时，将其基本概率赋值分配给未知命题Q。

抛弃焦元基本概率赋值重新分配方法如下：

（1） 终端T0即主控中心对于所有的入侵检测任务，如果有"mi?M，则查询本体的攻击特征入侵规则库，获悉该任务多个原子攻击序列组成，A={a1，a2，…，an}，此时，主控中心向所有入侵检测终端Tn广播消息序列，分发入侵的检测结果。

（2） 收到主控中心订阅消息后，各终遄Tn向主控中心T0回复一条确认消息。

（3） 各入侵检测终端Tn如果检测到了入侵行为或恶意攻击时，主动向主控中心T0发送入侵告警消息。

（4） 主控中心T0对收到来自各个入侵检测终端的原子入侵消息（包括T0自身汇报的和从其他T汇报的）进行关联分析，建立检测模型，通过融合计算，判断是否存在入侵企图或存在的攻击等威胁，并向网络管理者发出报警或主动切断网络的连接。

各入侵检测终端Tn所承担的分析任务是发现网段内的协同攻击，其分析依据是来自各自检测信息以及从主控中心订阅的原子入侵报警（协同其他入侵检测终端或T0）。主控中心T0对于收集到的终端Tn上报的信息集合，进行关联分析，试图找出各个入侵者所有可能的关联方式，即所有可能的入侵者组合的集合。endprint

4 改进算法的实现

入侵检测系统将向其他终端Tn订阅入侵消息的终端T0定义为主控端，定义T0自身检测信息以及其他Tn的原子入侵报警信息为证据。

参与主控端T0融合的证据来源于T0自身及其他Tn，主控中心T0和其他入侵检测终端Tn具有局部检测分析的功能，独立性很强，需要对对局部检测分析报告事件或存在的攻击可能行为进行明确的定义。各终端上报T0的事件格式需要适用入侵检测分析环境的不同、检测的技术方式的差异。因而需要对可疑事件的报告格式进行定义。定义格式如表1所示。

只要各终端T获取可疑事件相应的局部决策表，利用分布式协同算法，上报主控端T0由主控端最终融合计算，得出检测结论。

设各终端上报的可疑事件i的证据体为[Aj，miAjj=1，2，…，N]，运用改进算法进行融合的流程图如图2所示。

改进的证据推理算法步骤如下：

①對识别框架中的焦元安照保留下焦元和抛弃焦元进行分类，并计算焦元能量函数、证据平均能量函数；

②计算抛弃焦元的基本概率赋值，根据基本概率值实现抛弃焦元再分配，减少因抛弃焦元因携带有用信息而对融合结果产生的偏差；

③根据证据合成规则，融合判断是否有入侵事件，并获得最终融合结果。

5 小结

本文重点对D-S证据理论进行了研究，采用基于D-S证据理论的算法改进，引入分布式协同算法来解决各终端之间的协同问题，设计一种分布式入侵检测系统。通过实践证明改进的证据推理算法能够有效地减少数据融合的计算量，同时还能提高系统的融合性能，达到设计的要求。

参考文献：

[1] 靳留乾.基于确信度证据推理的不确定性多属性决策方法研究 [D]. 西南交通大学， 2016.6.

[2] 包甜甜，谢新连，魏照坤.新的证据冲突度量方法[J]. 控制理论与应用2017，34（01）：41-48.

[3] 吕嘉祥，李益发.基于多代理技术可自检的分布式入侵检测系统模型[J].微计算机信息，2005，21（11）：30-32.

[4] 杨海松，李津生，洪佩琳.分布开放式的入侵检测与响应架构—IDRA[J].计算机学报，2003，26（9）：1177-1182.

[5] 叶清，吴晓平，翟定军，等. 基于证据推理的多agent分布式入侵检测系统模型[J].计算机应用研究，2009，26（8）：3063-3066.endprint