電子科技大學(xué) 計(jì)算機(jī)入侵檢測(cè)技術(shù)2

計(jì)算機(jī)入侵檢測(cè)技術(shù)—基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)第二章基于多傳感器數(shù)據(jù)融合的入侵檢測(cè)技術(shù)

第一節(jié)引言

下一代的IDS需要通過(guò)各種異質(zhì)的分布式網(wǎng)絡(luò)傳感器來(lái)獲取并融合數(shù)據(jù)，以形成對(duì)網(wǎng)絡(luò)系統(tǒng)的態(tài)勢(shì)估計(jì)。

這樣的IDS用到了多傳感器數(shù)據(jù)融合技術(shù)，其概念最早出現(xiàn)于20世紀(jì)70年代的軍事領(lǐng)域，具有較強(qiáng)的軍事特色它已成功應(yīng)用于軍事和民用的諸多方面。

定義2.1數(shù)據(jù)融合（DataFusion）：是一個(gè)多級(jí)多側(cè)面的加工過(guò)程，包括對(duì)多個(gè)數(shù)據(jù)源的數(shù)據(jù)和信息的自動(dòng)化檢測(cè)、互聯(lián)、相關(guān)、估計(jì)和組合處理。

第一節(jié)引言本章的主要內(nèi)容包括：

1、提出了一種新型基于多傳感器數(shù)據(jù)融合的網(wǎng)絡(luò)入侵檢測(cè)機(jī)制DFIDM；

2、結(jié)合數(shù)據(jù)融合技術(shù)中的分布式多傳感器系統(tǒng)，分別針對(duì)單目標(biāo)和多目標(biāo)的情況進(jìn)行理論分析，提出了數(shù)據(jù)融合技術(shù)能較大程度提高入侵檢測(cè)系統(tǒng)的有效性和準(zhǔn)確性的理論依據(jù)；

3、基于理論分析得出的依據(jù)，詳細(xì)討論DFIDM機(jī)制的設(shè)計(jì)與實(shí)現(xiàn)；

4、研究DFIDM機(jī)制中數(shù)據(jù)校準(zhǔn)、實(shí)時(shí)性保證等其它一些重要問(wèn)題；

5、對(duì)該機(jī)制進(jìn)行了實(shí)驗(yàn)驗(yàn)證和性能分析；第二節(jié)數(shù)據(jù)融合技術(shù)的理論依據(jù)

一、數(shù)據(jù)融合技術(shù)的意義

1、提高系統(tǒng)穩(wěn)定性：即使某些傳感器失效、受到干擾或無(wú)法覆蓋事件和目標(biāo)的全體時(shí)，仍有傳感器可以提供信息；

2、擴(kuò)大觀測(cè)在空間和時(shí)間上的覆蓋范圍：利用多個(gè)傳感器，可以在不同時(shí)間和視點(diǎn)上觀測(cè)同一目標(biāo)，擴(kuò)大了系統(tǒng)檢測(cè)的時(shí)空范圍；

3、增加對(duì)象的信息量：由于采用了不同種類的、在時(shí)空上分布的傳感器，可以在不同層面上獲取對(duì)象更多的互補(bǔ)信息；

4、增加信息的準(zhǔn)確性；

5、提高決策的準(zhǔn)確性。第二節(jié)數(shù)據(jù)融合技術(shù)的理論依據(jù)二、融合系統(tǒng)的功能模塊

從整體框架上看，一個(gè)融合系統(tǒng)的主要功能模塊包括：傳感器及其管理模塊、數(shù)據(jù)管理模塊、信息優(yōu)化融合模塊和數(shù)據(jù)傳輸通道。三、融合系統(tǒng)的基本結(jié)構(gòu)

根據(jù)多傳感器系統(tǒng)中觀測(cè)、決策和融合的關(guān)系，大體上可分為集中式和分布式兩種基本結(jié)構(gòu)。

三、融合系統(tǒng)的基本結(jié)構(gòu)

1、集中式結(jié)構(gòu)中，各傳感器對(duì)目標(biāo)進(jìn)行觀測(cè)所得到的原始數(shù)據(jù)全部送到融合中心FC（FusionCenter），由融合中心完成對(duì)數(shù)據(jù)的各種處理，然后做出最終決策。圖2.1集中式融合系統(tǒng)三、融合系統(tǒng)的基本結(jié)構(gòu)

2、分布式結(jié)構(gòu)分為以下三種 （1）并行結(jié)構(gòu)對(duì)信道帶寬與融合中心處理能力的要求較低，本章的DFIDM就采用這種結(jié)構(gòu)。圖2.2并行分布式融合系統(tǒng)三、融合系統(tǒng)的基本結(jié)構(gòu)

（2）串行分布式融合系統(tǒng)。第一個(gè)檢測(cè)器，其余每個(gè)檢測(cè)器在接收自己的觀測(cè)數(shù)據(jù)之外，還能獲得上一個(gè)檢測(cè)器的決策，融合后的最終結(jié)果由最后一個(gè)檢測(cè)器輸出。串行結(jié)構(gòu)在鏈路發(fā)生故障時(shí)會(huì)導(dǎo)致整個(gè)系統(tǒng)都會(huì)受到影響，故應(yīng)用場(chǎng)合比并行結(jié)構(gòu)少圖2.3串行分布式融合系統(tǒng)

三、融合系統(tǒng)的基本結(jié)構(gòu)

（3）網(wǎng)絡(luò)分布式融合系統(tǒng)。第0層的各個(gè)檢測(cè)器接收自己的觀測(cè)矢量并做出決策，形成第1層輸入矢量。從第1層到第k層為中間融合層，第k＋1層為最終融合層。這種多層決策融合網(wǎng)絡(luò)可以實(shí)現(xiàn)比單純并行或串行更優(yōu)的功能，但會(huì)大大增加系統(tǒng)的開(kāi)銷。圖2.4網(wǎng)絡(luò)分布式融合系統(tǒng)四、分布式檢測(cè)與決策融合的概念模型由傳感器、決策器和融合中心組成，其模型如下圖。圖2.5單目標(biāo)并行分布式檢測(cè)與決策融合系統(tǒng)入侵行為u........u1unu2決策器g2決策器gn傳感器2傳感器nu2…………融合中心（FC）檢測(cè)器（DM）g傳感器1決策器g1四、分布式檢測(cè)與決策融合的概念模型a、先給出其概念模型：設(shè)有個(gè)假設(shè)（Hypothesis）：，，…，（對(duì)于二元假設(shè)為，可表示入侵行為的有或無(wú)）

b、設(shè)有n個(gè)檢測(cè)器，每個(gè)檢測(cè)器DM（DecisionMaker）由傳感器（Sensor）和決策器組成。第i個(gè)檢測(cè)器對(duì)目標(biāo)的觀測(cè)矢量為

=，i=1,2,…,n

，每個(gè)檢測(cè)器DM根據(jù)其目標(biāo)觀測(cè)矢量，按一定方法和準(zhǔn)則做出相應(yīng)本地決策=C、該模型僅對(duì)檢測(cè)一種入侵行為有效，稱為“單目標(biāo)多傳感器二元融合系統(tǒng)”；當(dāng)系統(tǒng)需要同時(shí)對(duì)多種入侵行為進(jìn)行檢測(cè)，則需要對(duì)該模型進(jìn)行擴(kuò)展，稱為“多目標(biāo)多傳感器二元融合系統(tǒng)”。（H）

五、通過(guò)多傳感器提高系統(tǒng)準(zhǔn)確性的幾個(gè)結(jié)論結(jié)論一：在適當(dāng)?shù)娜诤喜呗苑绞较?，多傳感器融合之后的條件熵不大于單傳感器的條件熵，即多傳感器系統(tǒng)的融合輸出可以獲得更小的不確定度。結(jié)論二：當(dāng)觀測(cè)信息相關(guān)性最小，也即它們相互獨(dú)立時(shí)，融合系統(tǒng)對(duì)輸出不準(zhǔn)確性的壓縮能力（CompressAbility）最大。為此，在系統(tǒng)中各傳感器之間應(yīng)相互無(wú)關(guān)，互不干擾。結(jié)論三：融合系統(tǒng)的性能還取決于是否最大程度的提取了系統(tǒng)的先驗(yàn)信息，即系統(tǒng)的融合性能與各檢測(cè)器的自身性能密切相關(guān)。第三節(jié)單目標(biāo)多傳感器二元融合系統(tǒng)

系統(tǒng)模型圖如下：圖2.6單目標(biāo)、二元并行分布式融合系統(tǒng)

第三節(jié)單目標(biāo)多傳感器二元融合系統(tǒng)a、設(shè)二元假設(shè)：

表示不存在目標(biāo)，表示存在目標(biāo)，它們的先驗(yàn)概率分別為和。各檢測(cè)器將各自決策和決策水平與傳遞到融合中心，融合中心基于這些本地決策作出最后的決策。b、通過(guò)推導(dǎo)可得最終融合可靠性函數(shù)：第三節(jié)單目標(biāo)多傳感器二元融合系統(tǒng)結(jié)論四：對(duì)于單目標(biāo)二元的多傳感器融合系統(tǒng)，a、融合后的最終可靠性由被檢測(cè)目標(biāo)的先驗(yàn)概率、各檢測(cè)器的虛警概率和漏報(bào)概率所決定，可表達(dá)為以上函數(shù)關(guān)系；b、由于各不相同，各檢測(cè)器會(huì)對(duì)最終決策產(chǎn)生不同程度的影響。虛警率和漏報(bào)率越小的檢測(cè)器對(duì)最終決策的影響越大；c、為保證融合公式中的準(zhǔn)確性，在系統(tǒng)運(yùn)行前和運(yùn)行過(guò)程中，都應(yīng)進(jìn)行統(tǒng)一的功能測(cè)試；第三節(jié)單目標(biāo)多傳感器二元融合系統(tǒng) d、在得到最終融合可靠性系數(shù)后，系統(tǒng)還需要提供閾值和判決函數(shù)來(lái)得出最終的判決結(jié)果，可表示如下：第四節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)

在實(shí)際應(yīng)用場(chǎng)合下，如果需要對(duì)同時(shí)發(fā)生的多種入侵行為進(jìn)行判斷，可將其擴(kuò)展為多目標(biāo)多傳感器二元融合系統(tǒng)。其系統(tǒng)模型圖如下：圖2.7多目標(biāo)、二元并行分布式融合系統(tǒng)第四節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)一、基本思路：將多目標(biāo)多傳感器二元融合系統(tǒng)的問(wèn)題，轉(zhuǎn)化為m個(gè)單目標(biāo)多傳感器二元融合系統(tǒng)的問(wèn)題。二、系統(tǒng)所檢測(cè)的目標(biāo)是二元目標(biāo)，每個(gè)目標(biāo)代表了一種已知入侵類型，每個(gè)類型的二元假設(shè)分別代表了該入侵類型的發(fā)生與否，n個(gè)檢測(cè)器仍然通過(guò)分布式結(jié)構(gòu)對(duì)多個(gè)目標(biāo)進(jìn)行檢測(cè)。三、依據(jù)：從系統(tǒng)的設(shè)計(jì)目標(biāo)來(lái)看，并不需要在檢測(cè)過(guò)程中建立不同入侵類型之間的關(guān)聯(lián)，因而以上方法是符合設(shè)計(jì)要求的。第四節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)四、數(shù)據(jù)結(jié)構(gòu)的變化： 1、本地檢測(cè)為向量，對(duì)于檢測(cè)器i的本地決策可表示如下，一般地，表示檢測(cè)器對(duì)攻擊類型的檢測(cè)結(jié)果。

2、本地決策經(jīng)過(guò)融合中心處理后得到的最終融合結(jié)果，也是一個(gè)與表達(dá)方式相同的向量。 3、在融合中心進(jìn)行數(shù)據(jù)融合的過(guò)程中，數(shù)據(jù)樣本并非向量而是一個(gè)m×n的矩陣。第五節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)

DFIDM的層次模型和功能布局如圖2.8所示

圖2.8DFIDM的層次和功能模型第五節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)一、按整個(gè)系統(tǒng)的功能劃分為5個(gè)層次：1、首先通過(guò)遍布系統(tǒng)各處的分布式傳感器獲取原始數(shù)據(jù)；2、原始數(shù)據(jù)經(jīng)過(guò)校準(zhǔn)過(guò)濾后填寫標(biāo)準(zhǔn)的原始數(shù)據(jù)記錄庫(kù)，并形成相關(guān)對(duì)象；3、對(duì)象提取在時(shí)間（或空間）上相關(guān)聯(lián)，其數(shù)據(jù)按統(tǒng)一標(biāo)準(zhǔn)關(guān)聯(lián)、配對(duì)、分類，形成一個(gè)基于對(duì)象的集合；4、利用融合決策算法，對(duì)狀態(tài)進(jìn)行提取以形成對(duì)入侵行為的威脅評(píng)估；5、根據(jù)威脅評(píng)估進(jìn)行最終決策；6、在以上層次結(jié)構(gòu)以外，管理策略獨(dú)立存在并管理、維護(hù)整個(gè)系統(tǒng)。第五節(jié)多目標(biāo)多傳感器二元融合系統(tǒng)二、各部分功能說(shuō)明

1、分布式傳感器DS（DistributingSensors）布置在系統(tǒng)的各個(gè)部分，主要分為兩類，即基于主機(jī)的傳感器和基于網(wǎng)絡(luò)的傳感器，這些傳感器用來(lái)獲取來(lái)自網(wǎng)絡(luò)或者主機(jī)的原始數(shù)據(jù)；

2、數(shù)據(jù)提取模塊DR（DataRefinement）應(yīng)布置于傳感器本地，以便于提高效率；

圖2.8DFIDM的層次和功能模型二、各部分功能說(shuō)明

3、為保證檢測(cè)的實(shí)時(shí)性，傳感器網(wǎng)絡(luò)必須比被保護(hù)的目標(biāo)網(wǎng)絡(luò)快，這樣才能及時(shí)做出分析和響應(yīng)，關(guān)于保證該系統(tǒng)檢測(cè)功能的實(shí)時(shí)性問(wèn)題，本章將在后面詳細(xì)討論；

4、對(duì)象提取OR（ObjectRefinement）和威脅估價(jià)TA（ThreatAssessment）兩個(gè)模塊可一同布置于融合中心FS（FusionCenter）。這有利于對(duì)象提取時(shí)，通過(guò)配準(zhǔn)形成一個(gè)基于對(duì)象的聚集的集合，同時(shí)也有利于狀態(tài)提取和威脅評(píng)估時(shí)的數(shù)據(jù)集中處理；圖2.8DFIDM的層次和功能模型第六節(jié)DFIDM的數(shù)據(jù)與對(duì)象提取

一、入侵行為的表示與存儲(chǔ) 在DFIDM中選擇類似于SNMPMIB（ManagementInformationBinary）的結(jié)構(gòu)來(lái)分類存貯各類入侵行為，稱之為入侵規(guī)則數(shù)據(jù)庫(kù)，或規(guī)則樹(shù)，如圖2.9。圖2.9規(guī)則樹(shù)示意圖

第六節(jié)DFIDM的數(shù)據(jù)與對(duì)象提取二、分布式傳感器DS（DistributingSensors）

DS布置在系統(tǒng)的各個(gè)部分來(lái)獲取原始數(shù)據(jù)，其輸出應(yīng)該是完整的網(wǎng)絡(luò)原始數(shù)據(jù)樣本。三、數(shù)據(jù)提取模塊DR（DataRefinement） DR應(yīng)布置于傳感器本地，以減小傳輸開(kāi)銷，其作用是對(duì)DS的原始數(shù)據(jù)進(jìn)行預(yù)處理。主要功能為：

1、對(duì)DS所提供的數(shù)據(jù)進(jìn)行過(guò)濾，保證數(shù)據(jù)的規(guī)范性；

2、對(duì)DS提供的原始數(shù)據(jù)進(jìn)行本地決策，并形成相關(guān)對(duì)象；

三、數(shù)據(jù)提取模塊DR（DataRefinement）

3、對(duì)本地決策后形成的對(duì)象標(biāo)志符OID，加上時(shí)間標(biāo)記TT（TimeTag）和空間標(biāo)記ST（SpaceTag），由此形成帶有時(shí)空標(biāo)記的OID。

DFIDM為保證從目標(biāo)系統(tǒng)獲取的數(shù)據(jù)具有時(shí)間上的一致性，在網(wǎng)絡(luò)各節(jié)點(diǎn)處維護(hù)標(biāo)準(zhǔn)的系統(tǒng)時(shí)間周期SSTC（SystemStandardTimeCycle），該時(shí)間周期在系統(tǒng)內(nèi)具有一致性和唯一性。

4、DR輸出的對(duì)象為本地決策LDM（LocalDecision－Making），主要包括時(shí)間標(biāo)記、空間標(biāo)記和入侵類型等，如圖2.10所示。

圖2.10本地決策LDM示意圖第六節(jié)DFIDM的數(shù)據(jù)與對(duì)象提取四、對(duì)象提取OR（ObjectRefinement） OR針對(duì)各節(jié)點(diǎn)傳來(lái)的LDM進(jìn)行處理，應(yīng)布置于融合中心FC。對(duì)象提取的作用，是按照共同的入侵類型，對(duì)數(shù)據(jù)進(jìn)行區(qū)分，并形成一個(gè)基于對(duì)象的集合。 按以下幾個(gè)步驟進(jìn)行

1、OR通過(guò)初始數(shù)據(jù)緩存空間ODC（OriginalDataCache）接收并存儲(chǔ)來(lái)自各節(jié)點(diǎn)LDM，該空間是一個(gè)對(duì)象存儲(chǔ)的集合； 2、網(wǎng)絡(luò)故障或延遲等因素可能導(dǎo)致同時(shí)產(chǎn)生的對(duì)象會(huì)異步到達(dá)，為此采用了三級(jí)延遲緩存的設(shè)計(jì)思想來(lái)加以解決。ODC作為第一級(jí)緩存；二級(jí)緩存空間SDC用作時(shí)間校準(zhǔn)；三級(jí)緩存空間TDC用作對(duì)最后按規(guī)則選出的輸出對(duì)象集合進(jìn)行緩存。四、對(duì)象提取OR（ObjectRefinement）

3、對(duì)于SDC中創(chuàng)建時(shí)間等于DV的集合，OR可認(rèn)為已通過(guò)時(shí)間校準(zhǔn)。其中，每個(gè)對(duì)象的時(shí)間標(biāo)記都相同。即將從SDC送到TDC的一個(gè)集合的情況如圖2.11所示：圖2.11即將從SDC傳輸?shù)絋DC的集合情況四、對(duì)象提取OR（ObjectRefinement） 4、按入侵類型對(duì)對(duì)象進(jìn)行處理，形成若干集合，OR輸出的是經(jīng)過(guò)時(shí)間校準(zhǔn)、基于不同入侵類型并包含n個(gè)集合的集合群（n為該時(shí)刻入侵行為的類型數(shù)，數(shù)量可變）。從系統(tǒng)初始化10ms后，每1ms產(chǎn)生n個(gè)集合，在沒(méi)有入侵的情況下，OR輸出為空。四、對(duì)象提取OR（ObjectRefinement）

從TDC最終輸出的若干集合的情況如圖2.12所示：圖2.12OR最終輸出到TA的集合群四、對(duì)象提取OR（ObjectRefinement）

5、工作流程如圖2.13所示來(lái)自各節(jié)點(diǎn)的LDM1，2,...，nODCSDCTDC存放原始數(shù)據(jù)的對(duì)象集合存放時(shí)間標(biāo)記相同的對(duì)象集合存放按特定規(guī)則選取后的對(duì)象集合，例如相同入侵類型的集合輸出到TA圖2.13OR的工作流程圖

四、對(duì)象提取OR（ObjectRefinement）接收各節(jié)點(diǎn)LDM1,2,…,n并存入ODC中每個(gè)WT對(duì)ODC內(nèi)的對(duì)象進(jìn)行一次處理該對(duì)象所對(duì)應(yīng)時(shí)間標(biāo)記的集合是否存在?是將該對(duì)象加入SDC中的相應(yīng)集合創(chuàng)建集合，并將該對(duì)象加入SDC中相應(yīng)集合START系統(tǒng)對(duì)SDC內(nèi)的各集合不斷輪詢集合創(chuàng)建時(shí)間>=DV?系統(tǒng)將該集合內(nèi)各元素，按不同入侵類型重新劃分并形成集合群，存入TDC否否是END圖2.13OR的工作流程圖

第七節(jié)融合與最終決策

本節(jié)討論DFIDM的最后一個(gè)部分TA（ThreatenAssessment），其作用主要有三個(gè)，即融合策略與算法、威脅評(píng)估以及啟動(dòng)響應(yīng)辦法。

一、各本地決策與本地檢測(cè)器的可靠性系數(shù) 1、可靠性系數(shù)的調(diào)整 DFIDM維護(hù)一個(gè)基于各檢測(cè)器可靠性系數(shù)的二維矩陣，一般地，為第i個(gè)檢測(cè)器對(duì)第j種入侵行為的可靠性系數(shù)，并根據(jù)系統(tǒng)實(shí)際性能不斷對(duì)其進(jìn)行調(diào)整。一、各本地決策與本地檢測(cè)器的可靠性系數(shù)

2、可靠性系數(shù)的計(jì)算

將一次融合過(guò)程的檢測(cè)器可靠性系數(shù)值記為

,并應(yīng)用于最終融合決策公式的計(jì)算中。從系統(tǒng)角度來(lái)看，考慮到各檢測(cè)器的可靠性本身具有相同的可信度，簡(jiǎn)化起見(jiàn)，DFIDM將函數(shù)

g設(shè)定為算術(shù)平均和，即：第七節(jié)融合與最終決策二、根據(jù)入侵檢測(cè)系統(tǒng)的實(shí)際需要，DFIDM在進(jìn)行融合決策時(shí)還引入了空間因素、時(shí)序因素、歷史記錄、人工加權(quán)這四個(gè)主要因素： 1、空間因素，是指目標(biāo)系統(tǒng)各節(jié)點(diǎn)上檢測(cè)器對(duì)同一種入侵行為的聯(lián)合預(yù)警。

2、時(shí)序因素，是指當(dāng)真實(shí)攻擊發(fā)生時(shí)，各節(jié)點(diǎn)由于網(wǎng)絡(luò)拓?fù)浜吐酚傻牟煌?，可能在?duì)同一入侵行為的檢測(cè)上出現(xiàn)異步性。

3、歷史記錄因素可針對(duì)具有一定規(guī)律的入侵行為提高準(zhǔn)確性，本文僅選取特定的攻擊源IP地址段這一情況加以分析。為此，系統(tǒng)維護(hù)一個(gè)對(duì)應(yīng)于攻擊類型來(lái)源的列表，使用可變階二維矩陣表達(dá)。

4、鑒于入侵行為并非完全按可預(yù)知的方式進(jìn)行，而常常具有突發(fā)性、階段性，在融合因素中人為的權(quán)衡也有其存在的合理性，為此引入了人為判斷系數(shù)。

第七節(jié)融合與最終決策三、融合結(jié)果

最終決策結(jié)果表達(dá)為各影響因素的函數(shù)。

由于無(wú)論對(duì)函數(shù)f的準(zhǔn)確性怎樣進(jìn)行優(yōu)化，這5個(gè)因素實(shí)際上應(yīng)該對(duì)決策結(jié)果施加的影響大小，都難以被準(zhǔn)確的反映為具體數(shù)值。DFIDM的最終決策結(jié)果以定性分析為主，定量計(jì)算為輔。

三、融合結(jié)果1、定性結(jié)果的描述

系統(tǒng)能詳細(xì)、規(guī)范地對(duì)融合過(guò)程中所涉及的因素進(jìn)行描述，并提交相關(guān)報(bào)告，系統(tǒng)管理者能很詳細(xì)地對(duì)目標(biāo)系統(tǒng)中可能發(fā)生的各類入侵狀況進(jìn)行了解，并在此基礎(chǔ)上進(jìn)行相應(yīng)處理。2、定量公式計(jì)算

設(shè)系統(tǒng)最終決策為

Z，可用一維數(shù)組表達(dá)，其分量表示對(duì)第j種入侵行為的決策值，將所有因素等同考慮，則可得：2、定量公式計(jì)算 最終決策Z是元素值介于0到1之間的一維數(shù)組，分別對(duì)應(yīng)了各類入侵在某個(gè)時(shí)刻，經(jīng)過(guò)DFIDM融合后的發(fā)生概率。由于各個(gè)影響因素在入侵實(shí)際發(fā)生時(shí)，可能會(huì)對(duì)融合決策起到不同作用，故可以加入調(diào)整系數(shù)序列，對(duì)于不同因素進(jìn)行調(diào)整，擴(kuò)展的計(jì)算公式為：第七節(jié)融合與最終決策四、處理與響應(yīng)辦法

在得到最終融合可靠性系數(shù)L(u)后，系統(tǒng)還需要提供閾值A(chǔ)和判決函數(shù)f()，來(lái)得出最終判決結(jié)果f(L(u))。

四、處理與響應(yīng)辦法

當(dāng)系統(tǒng)具有低、中、高響應(yīng)辦法時(shí)，閾值A(chǔ)和判決函數(shù)f()的方式可以設(shè)置如下：取值在[0,0.3]（閾值條件）之間對(duì)應(yīng)威脅程度為低；[0.3,0.7]（閾值條件）對(duì)應(yīng)威脅程度為中；大于0.7（閾值條件）為高。然后根據(jù)判決結(jié)果，系統(tǒng)啟動(dòng)不同的響應(yīng)處理辦法。第七節(jié)融合與最終決策五、管理策略

最后是系統(tǒng)管理策略，在以上層次結(jié)構(gòu)以外，系統(tǒng)的整體管理策略獨(dú)立存在并管理、維護(hù)整個(gè)系統(tǒng)。其功能包括：規(guī)則庫(kù)升級(jí)、各層次數(shù)據(jù)庫(kù)的維護(hù)（初始化、定期清空等）、系統(tǒng)各部分的性能檢查與調(diào)優(yōu)，等等。圖2.14FDIDM最終決策報(bào)告

第八節(jié)DFIDM的及時(shí)性和準(zhǔn)確性一、DFIDM的及時(shí)性

1、在以網(wǎng)絡(luò)為平臺(tái)的融合系統(tǒng)中，分布式傳感器所獲得的數(shù)據(jù)需要盡可能地在本地處理，這是實(shí)現(xiàn)DFIDM及時(shí)性的第一個(gè)重要措施。

2、為保證及時(shí)性，還需要通過(guò)建立獨(dú)立、高速的檢測(cè)網(wǎng)絡(luò)或?qū)δ繕?biāo)網(wǎng)絡(luò)進(jìn)行限速來(lái)實(shí)現(xiàn)。二、DFIDM的準(zhǔn)確性與性能優(yōu)化，需要通過(guò)定期測(cè)試和調(diào)優(yōu)來(lái)加以解決。第九節(jié)實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析

一、實(shí)驗(yàn)準(zhǔn)備： 實(shí)驗(yàn)環(huán)境為1個(gè)融合中心FC（Intel服務(wù)器1G），5個(gè)節(jié)點(diǎn)（PC賽揚(yáng)666），攻擊數(shù)據(jù)由1臺(tái)PC賽揚(yáng)666提供。為了既驗(yàn)證DFIDM機(jī)制的有效性，又易于操作，實(shí)驗(yàn)中下載了五種開(kāi)放源碼的入侵檢測(cè)系統(tǒng)，分別是snort（版本1.7）、PSAD（版本1.2）、Bro（版本0.7）、preclude（版本0.7）、IDES（版本0.4）。

第九節(jié)實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析1、漏報(bào)率的比較實(shí)驗(yàn)： 為測(cè)試DFIDM的漏報(bào)率，選擇了5種入侵類型。分別對(duì)同時(shí)攻擊類型為1、3、5的情況進(jìn)行3組實(shí)驗(yàn)，每組實(shí)驗(yàn)分別進(jìn)行了1000次，得出3組數(shù)據(jù)，這些數(shù)據(jù)為融合后的結(jié)果。以0.5為閾值，判斷其檢測(cè)結(jié)果是否正確，正確記為1，否則為0。最后對(duì)每組實(shí)驗(yàn)中同一入侵類型，計(jì)算所有樣本數(shù)據(jù)之和的算術(shù)平均值e，得到DFIDM漏報(bào)率的平均值1－e。此后，對(duì)snort和Bro同樣進(jìn)行上述3組實(shí)驗(yàn)，各1000次，采用同樣方法得到其漏報(bào)率，并列表比較。第九節(jié)實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析漏報(bào)率的比較數(shù)據(jù)如下表2.1：(1)、同時(shí)攻擊種類為1時(shí)：攻擊類型攻擊實(shí)現(xiàn)工具

漏報(bào)率（％）SnortBroDFIDMTCPFloodTFN4.13.70.9表2.1攻擊種類為1時(shí)的結(jié)果比較第九節(jié)實(shí)驗(yàn)環(huán)境、結(jié)果與性能分析(2)、同時(shí)攻擊種類為3時(shí)：

攻擊類型

攻擊實(shí)現(xiàn)工具漏報(bào)