祝亚楠

(鞍山市交通运输学校，辽宁鞍山114075)

浅谈数据融合技术在入侵检测系统中的作用

祝亚楠

(鞍山市交通运输学校，辽宁鞍山114075)

分布式网络入侵检测系统，需要从网络终端的各个代理上采集、融合数据，以便对网络空间的全局数据流经情况做以掌握，从而对照规则库，进行特征匹配，成功检测、阻止各种利用网络进行的协同攻击。数据融合技术是网络入侵检测系统中的不可或缺的基础组成部分，而且会伴随着网络入侵检测产品的日益普及，更显其重要性。本文从数据融合的定义及工作流程入手，简单陈述了数据融合技术在入侵检测系统中的作用。

多源数据；数据融合；入侵检测

一、数据融合的定义及工作流程

数据融合技术最早用于军事。1973年美国研究机构开始了对数据融合的研究，最先研究的内容是用于军事用途的声呐信号解释系统。从那以后，特别是自海湾战争以来，从事数据融合领域研究的人员越来越多，数据融合技术得到了长足的发展，并在军事领域和非军事领域广泛应用。

Edward Waltz和James Llinas在他们的有关论文中，综合了以往多人对数据融合的应用研究，并加上了自己独自的见解，明确提出了数据融合的概念：数据融合[1]是一种多层次的、多方面的处理过程，这个过程是对多源数据进行检测、结合、相关、估计和组合以达到精确的状态估计和身份估计，以及完整、及时的态势评估和威胁估计。

美国国防部JDL专门成立了数据融合技术专家组，提出了一个在防御系统中通用的数据融合处理模型，给出了数据融合的多层功能处理的观点。其工作流程原理由八个过程模块组成：采集数据源，多种数据过滤预处理，一级处理，二级处理，三级处理，四级处理，数据库管理层，人机交互的用户操作界面，即控制台。现就工作流程中各部件功能做以简述：

数据源:提供数据融合系统的输入，可能的数据源包括各类传感器、人工输入和数据库的信息。

零层预处理：包括初始信号处理及对数据作适当处理，使得融合系统能集中处理针对当前场景的数据，减少融合系统的负载。

第一级处理：提取对象。即融合传感器的信息以得到一个目标项的精练表示，主要指目标的位置和身份估计。一般包括四个功能:数据校准、关联、跟踪(位置融合)、识别(属性融合)。

第二级处理：态势评估。即给出一个基于各个目标间关系的前后相关的描述，以判定一组个体的意义。它包括目标聚类、事件和行为的解释、以及最终的前后相关的解释。

第三级处理：威胁评估。也就是对二级处理显示的态势进行深层次分析，考虑这种态势未来将对系统造成的影响。根据它的破坏严重性，衡量系统的抗攻击性，从而做出准确的威胁估计。

第四级处理：提升性能。它是一种超级处理，其目的是优化融合系统的总体性能，主要功能包括性能评估、过程控制、需求决策、战斗任务管理等。这一层的处理更偏向管理方面，比如可以根据融合结果对多传感器进行调节等。

数据库管理层：主要提供对数据融合数据库的访问和管理，它是数据融合处理最需要的支持功能之一，包括数据检索、存储、归档、压缩、关系查询和数据保护。

控制台：即人机交互的用户操作界面，允许人工输入数据进行数据融合处理，同时也作为数据融合系统与系统操作员的通信和交互的途径。

二、数据融合技术在入侵检测系统中的作用

数学家Wald曾对数据融合作用给予了精僻地概括。他说数据融合只是一个抽象的概念，它将有形用于无形，实质上是借助于某种方法，将多个数据源数据用某种形式加以组合，提炼。通过这个形式化的结合，达到减轻处理数据的负载，提取精确的信息的目的。具体精确的程度取决于融合的数据以及应用的方向。

现在本文在Wald总结的这个有关数据融合的作用的基础上，结合校园网入侵检测系统，对数据融合的作用具体应用如下：

数据融合就是利用遍布校园网络中的多个代理，如HIDS，NIDS等，获取多种不同的信息源数据，然后按照聚类分析等智能方法将其组合、提炼，从而获得高质量的简约的数据。通过数据融合，可以对入侵对象，攻击意图，网络抗攻击状况等进行准确地评估和响应。

本文将数据融合技术增添到入侵检测中，在处理数据跟踪，提高检测率，降低误报率，增强系统可靠性等方面都发挥了极大的作用。具体体现在如下二个方面：

1、增强了系统的可靠性。由于有多个代理分布在入侵检测体系结构的各个节点处，即使有个别代理不能正常工作或攻击行为不在其监控区域，总会有一个其它的代理处于其中，可以执行其功能，向上一级父节点或同一级节点的代理传送信息，保证了系统不受影响，能够实时的监控网络空间，削弱了单点故障的损失，提高了检测率。

2、拓宽了系统工作范围。由于多个代理的分布，可能造成叠加，重复监测的区域，使一些代理可以检测到其它代理检测不到的区域，或者可能由多个代理同时监测同一个范围内的对象或事件。这些都在一定程度上拓宽了系统在空间和时间上的工作范围，进而降低了对攻击的不确定性和误报率，提高了系统的检测能力，增强了检测的有效性。

总之，数据融合是以网络中的多个代理为硬件基础，以多源数据为处理目标，以综合处理为核心的框架结构，是入侵检测的基础核心技术。

[1]Peter Bladon,Richard J.Hall and W.Andy Wright.Situation Assessment UsingGraphical Models. ISIF2002,pp886-893.

（编辑 焦玉刚）

A Simple Analysis of The Function of Multi-Source Data Fusion Technology in Intrusion Detection System

ZHUYanan
(Anshan transportation school，Anshan 114075，China)

A distributed network intrusion detection system,need to collect data,integration of the terminal from every agency network,so that the global data on the network space through the situation to master,and the contrast the rule base to go on feature matching,attack detection,to prevent all kinds of attacks using network.Data fusion technology is a network intrusion detection system,which is indispensable in the basic part,and will be shown its importance with the increasing popularity of the network intrusion detection products.This paper starts with the definition and the working process of data fusion,makinga simple statement ofthe data fusion technologyin intrusion detection system.

multi-source data;date fusion；IDS

G712

B

1672-0601（2015）05-0095-02

祝亚楠（1973-），女，研究生，讲师职称。主要研究方向：多源数据融合的设计与实现。