云計算是一種利用互聯網實現隨時隨地、按需、便捷地訪問共享資源池(如計算設施、存儲設備、應用程序等)的計算模式。這種模式中，用戶所需的應用程序并不運行在用戶的個人電腦、手機等終端設備上，而是運行在互聯網上大規模的服務器集群中;用戶所處理的數據也并不存儲在本地，而是保存在互聯網上的數據中心里。由于云服務資源存放位置的不確定性，導致其物理的邊界不再存在，這將給云計算環境下的信息安全問題帶來新的挑戰。

　　發生在云環境中最常見的入侵包括：一個系統的未授權用戶利用一個合法的用戶賬號獲準通過系統的訪問控制;合法用戶訪問未被授權的數據、程序、資源，或雖然被授權但是濫用了權限;暗中的用戶奪取了系統的管理控制權，并利用這一控制權逃避審計和訪問控制，或抑制審計記錄的收集。入侵者的目標是獲得訪問系統的權限或打一大對系統的訪問權限范圍。一般說來，這需要入侵者獲得本應已被保護的信息。某些情況下，這些信息以用戶密碼的形式存在。在獲知其它用戶的密碼后，入侵者就能登錄系統并按合法用戶的權限執行操作。一旦發生非法入侵，一個系統的第二道防線就是入侵檢測。根據服務類型、實現機制以及攻擊類型的不同，入侵檢測方法分為統計異常檢測、基于規則的檢測兩種，前者試圖定義正常或預期的行為，后者則試圖定義正確的行為。目前針對入侵檢測系統(IDS)的研究主要集中于單系統、單機設備，然而云環境下往往需要保護分布式的企業集團。雖然通過在每臺主機上使用單機IDS來提高防御能力也是可能的，但通過網絡中IDS間的協調與合作，能獲得一種更有效的防御手段，分布式入侵檢測系統將是云計算的必然選擇。

　　針對分布式入侵檢測系統中來自不同類型入侵檢測系統的數據需要融合處理的問題，本文探討了數據融合模型的設計與實現問題，提出通過對不同類型的檢測數據進行融合后再經過多級提煉，產生多抽象級情景描述，最終給出較為準確的入侵檢測評估結果。

　　1、入侵檢測數據融合模型的設計

　　分布式入侵檢測系統中的多傳感器數據融合基于來自多個傳感器的數據的整合能夠提高結論信息質量的基本原理。數據融合能將不同類型入侵檢測系統的輸出進行整合和智能推理，通過對整合數據的推理，生成一個多抽象級情景描述，最終得出入侵檢測評估結論。

　　入侵檢測數據的融合可分5級，其數據流程如圖1所示。

圖 1 IDS數據融合模型數據流示意圖

　　(1)第0級負責傳感器數據的收集與提煉。

　　(2)第1級負責傳感器數據的融合，融合結果生成客體中心。客體中心包括攻擊和攻擊者兩類客體，這兩類客體之間有著緊密的聯系，總會至少有一名攻擊者卷人一次攻擊行為中，而且一個攻擊者總會至少卷人一次攻擊行為中。

　　(3)客體中心通過第2級和第3級的進一步分析，形成情景中心，通過考慮攻擊者的能力和意圖以及被監控系統的漏洞，分析得出當前情景受到的影n向。

　　(4)第4級是資源管理，識別改進多級融合產品所需的信息。

　　對于基于該模型設計的分布式入侵檢測系統，在推理的最低級，能指出入侵行為的存在;而在推理的最高級，能對當前情景的威脅進行分析。該模型產生的多抽象級情景描述如圖2所示。

圖 2 多抽象級情景描述示意圖

　　2、入侵檢測數據融合模型的功能結構

　　入侵檢測數據融合模型一般包括8個功能組件，其功能結構如圖3所示。

圖 3 數據融合模型功能結構圖

　　(1)第0級處理：資源預處理。

　　主要功能包括：對數據融合模型的輸入進行預處理，初始輸入數據包括本地傳感器、分布式傳感器、人工輸入和來自數據庫的先驗信息;為適當的進程分配數據，啟動數據融合進程。

　　(2)第1級處理：客體提煉。

　　融合傳感器信息，獲得實體個體的精練陳述。通常包括以下功能：

　　①數據校準：將從多傳感器獲得的數據對照一個通用參考框架進行校準。

　　②關聯：對涉及某單個實體的多傳感器的檢測值進行整合、分類或關聯。

　　③跟蹤：包括定位數據的多檢測值的整合，用來估計實體的位置和速度。

　　④識別：整合與身份相關的數據來精練實體身份的判斷，或者對通過使用異類傳感器、空間分布傳感器和非傳感器應用程序得到的信息融合結果進行分類。

　　(3)第2級處理：情景提煉。

　　產生一個實體間關系的與上下文有關的環境描述。它把焦點集中在關系信息上，以確定實體組的方法。它包括由客體聚合、事件和活動解釋、最終的與上下文有關的環境解釋。其結果表示敵對的行為模式。它能有效打一展并提高完整性、一致性以及由客體提煉生成的情景描述的抽象程度。

　　(4)第3級處理：威脅提煉。

　　分析當前情景，并對其未來進行預測，以獲得對可能結局的推理。能識別潛在對手意圖和其它入侵處理機制的弱點。

　　(5)第4級處理：進程提煉。

　　這是一個旨在優化融合系統整體性能的元進程，由4個關鍵功能構成：

　　①性能評估：提供實時控制和長期性能信息。

　　②過程控制：識別改進多級融合產品所需的信息。

　　③資源需求確定：確定特定資源需求并收集相關信息。

　　④任務管理：分配和管理資源。

　　(6)數據庫管理系統。

　　提供對數據融合數據庫的訪問和管理，功能包括數據采集、存儲、存檔、壓縮、關聯查詢和數據保護等。

　　(7)人機界面。

　　向數據融合模型輸入數據和輸出融合結果的接口。

　　(8)數據庫。

　　存儲本地傳感器、分布式傳感器、人工輸入與相關先驗信息。

　　3、入侵檢測數據融合的架構方法

　　數據融合的基本問題是在數據流的什么地方發生融合，換言之，就是架構的選擇。本文給出的融合模型中入侵檢測數據的融合發生在第1層處理級，可采用3種不同的信息融合的架構方法：數據級融合、特征級融合、決策級融合。一般說來，沒有所謂最好的架構。對架構的選擇依賴于需求和約束條件，比如可用的通信帶寬、傳感器特性等。對于每個應用程序，架構的優勢和不足必須加以權衡。

　　(1)數據級融合。

　　指對原始傳感器數據的融合，如圖4所示。這種方法是最精準的數據融合方法，但由于所有原始數據都必須從傳感器傳輸至中央處理設備，這種方法可能要求非常高的通信帶寬。如果原始數據都來自相同類型的傳感器，則該方法是可能實現的。

圖 4 數據級融合

　　(2)特征級融合。

　　對特征向量數據的融合，如圖5所示。在這個架構中，從傳感器原始數據中提取特征向量，然后將特征向量傳輸至中央融合進程進行數據融合。由于特征向量是原始數據的代表，這種方法勢必導致數據丟失，但丟失數據不會對之后的檢測結果產生很大影響。該方法能夠實現不同類型傳感器的數據融合，并減小對通信帶寬的依賴。

圖 5 特征級融合

　　(3)決策級融合。

　　該架構中，傳感器不是輸出原始數據或特征向量，而是基于它自己的單源數據作出決策，作為融合過程的輸入，如圖6所示。決策可以是身份聲明，也可是位置或速率估計。和數據級融合相比，決策級融合會有大量的數據丟失，它可能產生一個局部優化解決方案，而不是一個綜合的優化解決方案，但該方法可以實現不同類型傳感器數據的融合。

圖 6 決策級融合

　　4、結束語

　　對分布式入侵檢測系統中來自不同檢測系統的輸出數據進行整合和智能推理，可生成一個多抽象級情景描述，最終得出入侵檢測評估結論。常見的數據融合形式包括數據級融合、特征級融合、決策級融合等3種，數據級融合適用于來自相同類型傳感器的數據融合，特征級融合和決策級融合適用于來自不同類型傳感器的數據融合。選擇何種融合方式依賴于需求和約束條件，如可用的通信帶寬、傳感器特性等。 

核心關注：拓步ERP系統平臺是覆蓋了眾多的業務領域、行業應用，蘊涵了豐富的ERP管理思想，集成了ERP軟件業務管理理念，功能涉及供應鏈、成本、制造、CRM、HR等眾多業務領域的管理，全面涵蓋了企業關注ERP管理系統的核心領域，是眾多中小企業信息化建設首選的ERP管理軟件信賴品牌。

轉載請注明出處：拓步ERP資訊網http://www.guhuozai8.cn/

本文標題：云計算入侵檢測數據融合技術

本文網址：http://www.guhuozai8.cn/html/consultation/10839516204.html