基于补偿原理的模糊推理方法与应用研究

《基于补偿原理的模糊推理方法与应用研究》由会员分享，可在线阅读，更多相关《基于补偿原理的模糊推理方法与应用研究（15页珍藏版）》请在装配图网上搜索。

1、基于补偿原理的模糊推理方法与应用研究摘 要：为了减小计算量、并且提高模糊推理方法的有效性，本文提出了补偿原理与推理方法以及在网络攻击检测中的应用。主要工作如下：首先，建议补偿原理与基于补偿原理的广义前向推理和广义反向推理方式，说明其正确性，并以计算实例来说明；然后，提出了基于补偿原理的移动推理方法与递归模糊推理方法、与现行的模糊推理方法比较；在此基础上，最后提出了基于补偿模糊推理的网络攻击检测方法，选用DoS攻击工具、DARPA98数据集作为入侵检测数据集,对设计的攻击检测系统与提出的方法进行测试, 验证了该方法的有效性。关键词：模糊系统；移动模糊推理; 递归模糊推理；入侵检测；DoS攻击检测

2、 Research Of Fuzzy Reasoning Method Based On Compensation Principle And Application AbstractThe compensation principle, fuzzy reasoning method and network attack detection application are proposed, in order to reduce the complexities of the algorithm and has the effectiveness. The main work is as be

3、low. Firstly, This paper points out a kind of fuzzy reasoning principle (CFR: Compensation Fuzzy Reasoning) and defined fuzzy modus ponens, modus tolens based on CFR. In addition, explained the validity and Calculated examples of different input information. Then, points out the removal fuzzy reason

4、ing method and recursive fuzzy reasoning based on CFR, compared with existing method. Finally, this paper points out the method of network attack detect based on Compensation Fuzzy Reasoning. The validity is checked by testing intrusion detection system and proposed method with DoS attack program, D

5、ARPA 98 dataset as intrusion detection dataset.Key words：fuzzy system; removal fuzzy reasoning；recursive fuzzy reasoning; intrusion detection; DoS attack detection 0 引言1965年扎德(L.A.Zadeh)提出“模糊集合论”1,标志着模糊数学的诞生,从那时起,模糊数学就以计算机科学和软科学作为研究和应用的两大前沿。模糊技术是指建立在模糊集合理论、可能性分布理论和模糊逻辑推理基础上的一类工程技术,是对人类认识、思维过程和现实世界中所

6、固有的模糊性的一种模拟和反映。其中，模糊推理可以在证据掌握不充分的情况下,根据推理规则,得到具有一定真实程度的推论。自模糊集合论提出至今, 模糊推理方法的研究与应用2-16已取得了很大进展,常见的模糊推理方法可分类为：Mamdani模糊推理，Larsen模糊推理, Tsukamato模糊推理,Takagi-Sugeno（T-S）模糊推理等2。最近也出现了距离型模糊推理方法14-16。近年来，虽然人们对模糊推理方法与应用进行了很多研究，但是仍然存在弊病。现行的模糊推理方法大部分是由原有的Mamdani模糊推理方法发展起来的，现行模糊推理方法的不足是推理过程复杂，计算量大等。入侵检测是通过对计算机

7、网络或计算机系统中若干关键点收集信息，并对其进行分析，从中发现网络或系统中是否有违反安全策略的行为或被攻击的迹象。入侵检测及其判断过程涉及许多不确定性的因素,例如攻击行为的不确定性,检测分析证据来源的不确定性,攻击知识获取与转换的不确定性,等等。 因此,入侵检测属于信息不全、信息不确定、信息模糊等条件下的信息安全问题17。基于模糊推理的入侵检测方法可以在证据掌握不充分的情况下,根据推理规则,得到具有一定真实程度的推论。因此，众多学者已经对各种各样的模糊推理方法及其入侵检测应用做了大量研究18-21。但是,基于合成规则的模糊推理方法的推理过程复杂，算法的计算量大。入侵检测需要进行实时的检测与决策

8、。本文通过分析现行模糊推理的优缺点，提出了补偿原理，基于补偿原理的移动推理方法、递归推理方法。并且将基于补偿模糊推理应用于DoS网络入侵检测中，并在入侵检测系统Snort上得以实践，并和现行模糊推理方法进行对比测试。理论分析与测试结果表明，本文提出的原理、模糊推理方法在网络安全、识别、评估、智能控制领域中是可行有效的。1.补偿原理的定义首先，定义补偿原理，并提出基于补偿的广义前向推理方式与广义反向推理方式。1.1. 补偿原理若有if-then形式的模糊推理规则与输入信息，并且前提条件（结论部分）的模糊集合与新的输入信息之间存在变换移动关系，那么可以根据这个变换移动关系得到结论部分（前提条件）模

9、糊集合。这个定义为补偿原理或者补偿规则。补偿的意义如下：关于Zadeh提出的基于合成规则的推理，随着匹配度的计算结果的不同，将结论的部分裁剪掉，得到非正规模糊集合；而本文提出的推理，随着前提条件的移动、移动变换的作用，得到的结论部分是用来补偿原来的非正规集合的正规凸模糊集合的。就是说，if x is A then y is B(1.1)在（1.1），对输入信息A，得到推理结果B的过程如下：)( )(1.2)符号表示模糊集合的移动变换。就是说，随着前提条件模糊集合与输入信息模糊集合的移动变换，把结论部分模糊集合移动变换，以得到新的推理结果模糊集合。移动变换的含义包含没有移动的变换，就是纯净的变换

10、，没有变换的纯净的移动或者有移动的变换三部分。就是说，这个内容包含移动和变换等的3个运算。在（1.2）的推理中，随输入信息的形式不同，选择一个运算。Zadeh提出的模糊推理的合成规则随着模糊蕴含运算，按式（1.3）得到推理结果。(1.3)在式（1.3），Zadeh提出模糊关系如下：(1.4)他认为这个模糊关系用多种方式可以定义，所以推理结果也不同。而对于这个问题，我们不是通过输入集合A 与模糊关系 R 的合成运算得到结论，而是通过模糊集合A的移动、变换或者移动变换得到模糊集合A 的观点而提出的一种推理原理：模糊集合B 也可以通过模糊集合B的移动或者变换，或者移动变换得到。 在图1.1，说明两个

11、原理的差别。图1.1. 补偿原理和合成规则的比较1.2基于补偿原理的广义前向推理和广义反向推理方式广义前向推理方式如下：前提条件:if A then y is B 输入信息 : x is A (1.5)结论 :y is B 步骤1: 对式(1.5)的前提条件，若输入模糊集合A，则认为前提条件模糊集合A与A 之间存在变换或者移动关系，可以得到；(1.6)其中：模糊集合。步骤2: 从结论部分模糊集合B，根据式(1.6)，决定推理结果B 如下： (1.7)其中F,G表示数学的映射。随着F,G的不同，得到不同的推理结果。广义前向推理方式可以在式（1.8）所示的条件下使用：(1.8)式(1.8)的意义如

12、下：除非新输入的信息和前提条件的模糊集合有交集，才可以出来推理结果，否则不能进行推理。广义反向推理方式相对于广义前向推理方式的形式如下： 前提条件:if x is A then y is B输入信息: y is B (1.9)结论 :x is A 步骤1: 对式(1.9)的输入信息集合B，认为B和 B 的之间存在变换或者移动变换关系，则可以得到变换式如下： (1.10)步骤2: 按式(1.10)，得到推理结果如下：(1.11)其中F,G的意义和广义前向推理方式一样。广义反向推理方式也和广义前向推理方式一样有如下条件：(1.12)对正规凸和左右对称的模糊集合A、A、B、B，如果A和 A 之间的移

13、动距离是x，并且B,B 的移动作用是y，从模糊集合观点，补偿型推理表示如下：将输入信息的模糊集合A 表示为如式(1.13)所示， (1.13)则可以得到推理结果的模糊集合B 如式(1.14)所示。 (1.14)在式（1.14）中，是输入信息模糊集合的语言修饰算子，是推理结果模糊集合的语言修饰算子。一般=。在式(1.13)中，如果是 0 ，而且 x不是 0，按纯净的移动推理结果决定B；如果大于 0 ，而且x是 0，则按纯净的变换决定B；如果大于0 ，同时 x不是 0，则按移动变换决定B。如果从式(1.13)可以得到式(1.14)，那么可以由式(1.15)的映射f决定移动量y。y=f(x,y,x)

14、(1.15)如果x =0，则y =0。如果x 0，则认为x和 y之间存在1:1的对应关系。1.3.补偿推理的正确性首先，补偿推理跟广义前向推理以及广义反向推理方式一样基于演绎推理。也就是说，如果具备代表模糊系统的模糊知识，并且有新的输入信息，则以广义前向以及广义反向的逻辑思维形式，导出新的个别的知识。此时，得到的新的个别知识的类型和模糊系统的输入输出模糊集合有关，按关系的表现方法不同，采用不同的推理方式。如果只是考虑广义前向推理方式，因为输入模糊集合是模糊规则的前提条件模糊集合的移动变换的结果，所以可以认为推理结果也是结论部分模糊集合的移动变换。此时，推理结果的移动随着输入信息的移动而成比例（

15、正，否）的移动。根据规则的结论部分模糊集合的变换方式，结论部分模糊集合跟输入模糊集合的类型有相似关系。这个过程意味着模糊规则的前提条件和结论部分的移动变换关系基于类比推理。所以，可以认为补偿推理包含了演绎推理与类比推理的人类思维方式。补偿推理跟现行的模糊推理的关系如下，从(1.13)和(1.14) 可以知道，只有移动的时候，补偿推理类似距离型模糊推理。只有变换的时候，补偿推理类似基于合成规则的模糊推理。移动和变换互相结合的场合，可以认为包含距离型模糊推理和基于合成规则的模糊推理。举例说明补偿推理如下 (图1.2)：前提条件 ：如果李子红，它甜。输入信息 ：这个李子火红。 结论 ：这个李子稍甜。

16、图1.2.基于补偿原理的模糊推理在图1.2中，按照如下的方式得到“李子稍甜”的结论：从前提条件“如果李子红，它甜”的模糊命题的“红”模糊集合，把新输入的“这个李子火红”输入信息模糊集合的移动和变换反映到结论部分，则可以得到“李子稍甜”的结论。输入信息的“火红”模糊集合跟结论部分“稍甜”模糊集合有相似关系。1.4.计算实例对比按以上叙述的广义前向推理方式，输入信息位于隶属函数的左边、右边的场合，我们用实例来讨论应该得到什么样的结果。考察如下模糊控制规则：“如果反应槽的温度偏差负小(NS)，电动机阀以正小(PS)旋转”（图1.3）。首先考察Mamdani的推理方法。在图1.3中，若输入信息（温度偏

17、差）x0 = -1.2，则NS(x0)=0.6。因此在Mamdani的推理PS 以（2）的斜线部分表示，它的清晰化的结果值（电动机阀的开度）得到y0 = 2，并且当输入信息x0 = -2.8时，NS(x0)=NS(-2.8)=0.6，推理结果PS 得到清晰化的结果值y0 = 2，由（5）的斜线部分表示。就是说，从图1.2的规则(1)(2)和规则(4)(5)，可以知道对于不同的输入信息，不能得到不同的结果，而是得到相同的结果。图1.3. 对不同的输入信息的推理过程第二，按本文提出的方法计算。在图1.3的规则(1)(3)，若x0 = -1.2，则得到y0 =2.8。在图1.3的规则(4)(6)，当

18、x0 = -2.8，则得到y0 = 1.2。可以看出，本文提出的方法对不同的输入信息得到不同的推理结果。在不同输入条件下得到不同的结果。 可以看出，现行方法对闭区间-4,0的任何输入信息值始终得到一样的结果。但是，本文提出的方法在区间-4,0，以-2为准，输入信息越大，PS 越大。若输入信息越小，结果PS 越小。一般来说，在模糊控制或模糊专家系统，对任何场合的输入信息通过一起运用各种规则来得到推理结果。因为通过一起作用的各种规则得到推理结果，所以不能发现如上图1.3的(2)和 (5)的矛盾。但是，如图1.3的(3)和 (6)，可能出现不同的结果。通过以上的分析，我们可以知道现行方法的缺点和补偿

19、推理的优点。2. 基于补偿原理的移动模糊推理法2.1移动推理方法对标准模糊系统，模糊推理模型如下式：（2.1）其中，表示输入的变量；表示输出的变量。与， ， 分别表示各个输入信息、规则库的前提条件、结论以及推理结果的模糊集合。移动推理算方法的具体步骤如下：步骤 1：对以式(2.1)表示的标准模型，如果有以下输入模糊集合， （2.2）则j次规则的前提条件模糊集合与它的输入信息之间平均移动距离xj如下式：，i:+ 或者 - （2.3）当推理结果值随中心距离的增加而增大，并且xpjixpi，i 是+；否则i 是-。如果推理结果值随中心距离的增加而减少，而且xpjixpi ，i 是-，否则i 是+。在

20、式（2.3），xi（j）是在j次规则i次输入信息模糊集合Pi与相当于它的前提条件模糊集合Pji之间的移动距离。如下式（2.4）：(2.4)在式（2.4），lji,rji,是模糊集合的左边宽、右边宽。Xpji,Xpi是个个 Pji,Pi,的中心点。图1 模糊集合Pji的移动距离步骤 2：利用前提条件模糊集合Pji得到的移动距离,结论模糊集合的推理结果为：, 步骤 3：推理结果的模糊集合 得到如下式： （2.5）就是。步骤 4：从式（2.6）得到综合推理结果 为： （2.6）其中， ， ，所以式（2.6）可以简化成（2.7）。 = (2.7)其中是参加推理的规则数，一般。以上的模糊推理方法称为基于

21、补偿原理的移动模糊推理法。移动推理法比先行方法计算量小，使实现算法简单。2.2.比较与现行模糊推理方法基于合成规则的现行方法与本文提出的移动方法的差异点如下22： 本文提出的移动推理法比现行方法计算量小。提出的方法的实现算法简单，对模糊信息处理可行。 本文提出的方法以移动变换导出结论部分模糊集合。因此，始终生成正规凸集合。但是，现行方法生成非正规凸集合。因此，推理次数越增加，模糊性越多。所以，从实践的观点来看，本文提出的方法比现行方法更有效。距离型推理方法与本文提出的移动方法的差异点如下22 ： 距离型推理法全部求得规则与规则之间距离。但是，移动推理方法没有这样的过程。就是说，距离型推理法全部

22、求得与输入信息没有关系的隶属函数之间的距离。所以，包含不需要的计算。 关于输入信息，移动推理法只选择对推理有效的规则进行推理。但是，距离型推理法每次用全部规则生成结果。这就意味着距离型推理法没有重视输入信息对规则的影响。 本文提出的方法比现行距离型方法计算量小。 3 基于补偿原理的递归模糊推理方法递归模糊推理规则可以用(3.1)式表示23。 (3.1)根据式(3.1)所表示的模糊规则，将基于补偿原理的递归模糊推理方法可以描述为如下步骤。步骤1：对于式(3.1)所表示的模糊规则,若在t时刻有测量信息值，则由该测量值得到的模糊集合与模糊规则的条件模糊集合Fi(t)之间的偏移率i可以表示成(3.2、

23、3.3)式。在式(3.3),如果输入是模糊单点，式（3.3）变成式（3.2）。输入为模糊单点的场合，用式（3.2）表示。 （3.2)输入为模糊集合的场合，用式（3.3）表示。 (3.3)图3.1表示用本文所提出的方法计算偏移率的实例。设i为偏移率、P0为输入信息。在条件变量为若干的情况下，用式(3.2、3.3)中的ij，可以表示i (j=1、2、m)。用式(3.4)计算第i个模糊规则的偏移率i。 (3.4)图3.1 递归推理中的偏移率计算实例步骤2： 用式(3.5)计算偏移率和结论模糊集合之间的偏移作用。(3.5)其中f 表示偏移运算符。步骤3：用式(3.6)计算n个模糊规则的部分推理结果。

24、(3.6)步骤4：用式(3.7)计算综合推理结果。 (3.7)其中为前一阶段的推理结果。当推理结果发生突变时，不能根据当前的推理结果来判定系统状态，而是根据递归前一阶段的推理结果，来综合得出总体推理结果。对递归前一阶段的推理结果，引入忘却系数，由于现在的推理结果也不是可以完全确信的结果。所以，引入非可靠性系数，式（3.7）可以写成式（3.8）。 (3.8)步骤5：用式(3.9)计算确定值f，其中g为加权算法的清晰化运算符。 (3.9)4.基于移动及递归模糊推理方法的网络攻击检测与测试4.1基于移动模糊推理方法的DoS攻击检测与测试结果本文选取了两个要检测的特征量，分别是时间差和IP地址的统计分

25、布特性，下面分别进行介绍：时间差:针对DoS中的Synflood攻击，攻击者必须通过发出大量伪造的SYN数据包，消耗非常多的系统资源直至资源耗尽，从而导致对正常用户的服务请求无法响应。因此本文抓住攻击发生时SYN包发送频繁，时间间隔相对很短的特点，选取第一个特征量即为时间差DT。IP地址的统计分布特性:在特定的网络范围内，发送报文的某些特性会呈现出一定的相关性，如报文IP地址分布会满足一定的统计特性。当攻击发生时，由于攻击报文通常伪造IP地址或者来源于有限个IP地址，所以原来的IP地址统计分布特性将遭到破坏。在具体实现中，本文使用了信息嫡DH来衡量这种随机分布特性。一般说来，在DoS攻击中，由

26、于攻击报文伪造的IP地址随机性很大，会造成其熵值大于正常情况；相反如果攻击报文不伪造IP地址，那么其地址的随机性会减少，造成其熵值小于正常情况。具体实践中本文采用滑动窗口的机制，分析变化的窗口中每个IP地址出现的概率，以计算熵值。用两个特征因素的攻击检测方法中，两个连续的SYN包时间差DT和报文流的熵值DH设定为主要检测因素。关于这个方法，嫡值过大并且时间差小的话，认为攻击可能性大，嫡值过小并且时间差小的话，也认为攻击可能性大。当网络中有攻击行为的时候，正常包和异常包同时传输，不但存在不能分辨正常包和异常包的情况，而且嫡值和时间差也不是可以信任的正确值，这是因为网络上的信息在传输过程中受到各种

27、因素的影响，可能发生错误。所以，攻击检测过程中可能发生误报警，不能判别哪一个“异常”或 哪一个“正常”。因此，本文选择了模糊推理来解决这样的问题，而且用少数规则可以处理很多情况，以进行检测。模糊推理方法以模糊集合分析攻击可能性，特征因素的输入值通过模糊推理系统得到判断结果，并且如果连续出现攻击可能性大的结果，累积起来超过攻击阈值，则判断为攻击。依据入侵检测的实时要求，本文用移动推理决定攻击可能性，因为移动推理法简单，计算量小。用DoS攻击检测的检测结果评价指标24如下。TP(True Positive)、FN (False Negative)、TN (True Negative) 以及FP(F

28、alse Positive)依次代表分类正确的正类样本、假的负类样本、正确的负类样本以及假的正类样本的数目。基于上述定义，采用四种定量参数来描述检测效果，即真正率TPR（True Positive Rate）、假正率FPR（False Positive Rate）、真负率TNR（True Negative Rate）、假负率FNR(False Nagative Rate)计算公式如下。真正率: TPR = TP / ( TP+ FN ) , 假正率: FPR = FP / ( FP+ TN ), 真负率: TNR= TN / ( FP+ TN) ,假负率: FNR= FN / ( TP+ FN

29、)。用TPR,TNR,FPR和FNR等指标的评价结果依赖于阈值,因此,采用ROC曲线评价方法,对提出的方法与现行的方法评价。下面对此DoS攻击检测系统进行测试，实验计算机条件为如CPU DELL 3 GHZ,主板 915，内存 512 M B。选择滑动窗口大小为100，通过移动模糊推理方法与Tuskamato方法2进行测试。随着熵值（攻击计算机数量）与时间差的变化，用专门的DoS工具与DARPA 98入侵检测数据集的Synflood攻击检测平均时间，对比结果如表4.1。图4.1、4.2、4.3 、4.4表示随着阈值的变化的两个方法的TPR、TNR计算结果。表4.2表示两个方法的平均TPR、TN

30、R、FPR、FNR对比结果。图4.5表示两个方法的ROC曲线。T是攻击可能性阈值。表4.1.用DoS工具、DARPA 98入侵检测数据集的攻击检测时间对比结果环境条件阈值(T)用提出的方法进行检测的时间 (s）用现行的方法进行检测的时间 (s）DoS攻击工具0.651.4603289481.463796679DoS攻击工具0.71.4611674441.462839222DARPA 98数据0.651.4614848891.462703222DARPA 98数据0.71.4367638891.437172556平均时间1.4549362931.45662792表4.2.两个方法的平均TPR、T

31、NR、FPR、FNR对比结果环境条件阈值(T)提出的方法现行的方法TPRTNRFPRFNRTPRTNRFPRFNRDoS攻击工具0.650.7940.90.10.0260.7850.8820.1080.216DoS攻击工具0.70.630.9630.0370.370.5920.7770.2230.408DARPA 98数据0.650.9720.9790.0210.0280.9820.9050.0950.018DARPA 98数据0.70.9570.9930.070.0430.8430.930.070.157图4.1不同熵值下的TPR、TNR (T=0.65)图4.2 不同熵值下的TPR、TNR

32、 (T=0.7) 图4.3不同熵值下的TPR、TNR (DARPA 98 T=0.65)图4.4不同熵值下的TPR、TNR (DARPA 98 T=0.7)图4.5 本文的方法与Tsukamato方法的ROC曲线对比从表4.1、4.2与图4.1、4.2、4.3、4.4、4.5中可以看出该方法确实有效。第一，通过分析表4.1提出的推理方法和现行的方法对比可以知道用移动推理方法的检测速度比较快，因为移动推理算法过程简单、高效。如果现行方法采用指数函数的话，本文提出的方法比现行推理方法更快。第二，通过对攻击可能性阈值的改变，可以对认定攻击与非攻击的时间间隔临界值进行调整，以适应不同的网络环境。第三，

33、通过分析可以知道提出的方法比现行方法的TPR、TNR的计算结果有点大，并且，FPR、FNR小。通过分析图4.5可以知道提出的推理方法的ROC曲线比现行方法更靠近图形的左上角。所以，提出的移动推理方法在DoS等攻击入侵检测中速度快，并且有效，符合实时入侵检测的要求。4.2 基于递归模糊推理的网络攻击检测测试针对网络DoS攻击中具有代表性的Synflood，当网络中有攻击行为的时候，有时根据以时间差DT与IP地址的统计熵DH得到的推理结果，不能判别哪一个“异常”或 哪一个“正常”。例如，推论结果值发生突变时，无法依据当前得到的推论评估状态。在这种情况下，递归推理参照前一阶段和当前的推理结果，来评估

34、目前的系统状态以得到更准确的评估结果。如果连续出现攻击可能性大的情况，并且超过某个阈值，则可以判断为攻击状态。在某些时点，因为各种各样的原因，不能正确判断网络状态，并且入侵检测需要实时检测。因此，本文采用简单、快速的用偏移率的递归模糊推理方法，来决定攻击状态。表4.3说明用DARPA 98入侵数据库检测的结果比较。随着不同的时间间隔（表 4.3的第一列），把DARPA 98入侵数据库的300个包传输到网络中，从第一百个包到第三百个包中，采用不同的方法检测到的攻击包数如下表4.3的第二移动推理方法，三列提出的递归推理方法。表4.3的第四，第五列表示用本文所提出的递归推理方法与现行的递归推理方法2

35、3进行检测所用的时间。测试结果表明提出的递归模糊推理方法比现行方法速度快。递归模糊推理方法比移动模糊推理方法用于检测的包数少。因为，递归模糊推理方法不是根据当前的推理结果进行判断，而是参照当前的推理结果与前一阶段的推理结果，来判定攻击可能性。表4.3.用DARPA98入侵检测数据库的Synflood攻击检测比较结果时间间隔 (ms)用移动模糊推理的检测包数用提出的递归模糊推理的检测包数用提出的递归模糊推理进行检测的时间(s)用现行的递归模糊推理进行检测的时间 (s)02001884.1821664.19644302001884.1982514.185285501861664.2169644.1

36、969961001641394.1960364.205759150121794.2080004.207213200119734.2351884.22586330054214.2081314.23917140048104.2158824.216595500004.2094374.21038平均检测时间4.2077838894.209300556在表4.4中的检测点196，由于原来的推理值是0.497838，以前的检测值大于0.8。所以，依据当前的检测值无法决定攻击可能性。而通过递归模糊推理获得的值是0.652877，因此，攻击可能性阈值如果设定为0.65，则认为是攻击状态。测试结果表明用提出的递

37、归模糊推理方法速度快，并且可以用于网络攻击检测。表 4.4. 用DARPA 98的检测值(时间间隔=300 ms)检测点号码在检测点获得的值获得的推理值获得的1值获得的2值1870.7294640.5934490.8135411.0000001880.7390170.6113270.8272161.0000001890.75225040.598740.7794110.9794111900.7703940.5509150.7141730.9141731910.7734900.6484570.8383521.0000001920.5282060.6094680.9398750.9398751930

38、.8031250.7655160.9531720.9531721940.8194030.744890.7730560.9730561950.8317920.744890.8065491.0000001960.4978380.6528771.0000000.876474结束语本文针对现行模糊推理方法计算量大、推理过程复杂的问题，提出了补偿原理，以及基于补偿原理的广义前向推理和广义反向推理方式，说明了其正确性，并用不同输入信息的计算实例以证明本文提出的方法的正确性。本文介绍了基于补偿原理的移动模糊推理方法以及它在DoS攻击检测中的应用。研究了用时间差与熵值的模糊入侵检测方法，利用开源入侵检测系统S

39、nort及其良好的扩展性，做出了相应的开发处理，使其在Snort中得以运行，并可以对入侵进行检测。通过测试，发现本文提出的移动模糊推理方法在DoS攻击检测中确实有效，检测速度快。另外，本文只对DH，DT两个特征量进行检测分析，但此方法对更多特征量进行检测时同样适用。在本文提出的方法中，不仅考虑前一阶段的推理结果的忘却系数，而且考虑当前推理结果的非可靠性系数，来获得推理结果；并且研究了基于递归模糊推理的模糊网络攻击检测系统与方法。通过用DARPA98数据库测试，实验证明本文提出的模糊推理方法在网络攻击检测中确实有效。本文提出的补偿原理与推理方法为模糊推理方法与模糊推理应用的研究提供了一种新的途径

40、。参考文献1 ZADEH LA, Fuzzy Sets J, Information and Control, 1965, 8 :338-353.2 李少远，王景成，智能控制（第二版）M，机械工业出版社，2009: 25-513 D. Dubois, H. Prade, Fuzzy sets in approximate reasoning ,Part1: Inference with possibility distributionsJ Fuzzy Sets and Systems., 1991，40 :143-202,.4 H. Maeda, S. Asaoka, S. Murakami,

41、 Dynamical fuzzy reasoning and its application to system modelingJ， Fuzzy Sets and Systems, 1996，80 :101-109.5 E. S. Lee and Q. Zhu, Fuzzy and evidence reasoning., Berlin Germany, Physica-Verlag, 199538.6 B. Bouchon-Meunier, R. Mesiar,Compositional rule of inference as an analogical scheme, Fuzzy se

42、ts and Systems, 2003，138: 53-65, 7 T. Alsinet and L. Godo, Adding similarity-besed reasoning capabilities to a horn fragment of possibilistic logic with fuzzy constantsJ, Fuzzy sets and Systems, 2004，144(1)：43-658 L. T. Koczy and K. Hirota, Approximate reasoning by linear rule interpolation and gene

43、ral approximationJ, Int. J. Approx. Reason., 1993，9（3）:197-2259 Zhiheng Huang, Qiang Shen. Fuzzy interpolative reasoning via scale and move transformationJ, IEEE Transactions on Fuzzy Systems, 2006, April，14（2）:340-48,.10 Shyi-Ming Chen, Yaun-Kai Ko, Yu-Chuan Chang, Jeng-Shyang Pan, Weighted Fuzzy I

44、nterpolative Reasoning Based on Weighted Increment Transformation and Weighted Ratio Transformation TechniquesJ, Fuzzy Systems, IEEE Transactions on, 2009，17（6）:1412-1427,11 Shyi-Ming Chen, Yuan-Kai Ko, Fuzzy Interpolative Reasoning for Sparse Fuzzy Rule-Based Systems Based on -Cuts and Transformati

45、ons TechniquesJ, Fuzzy Systems, IEEE Transactions on , 2008, 16(6) :1626 -1648 12 徐蔚鸿,陈国平,杨静宇,叶有培, 规则摄动时模糊蕴涵算子对模糊推理的鲁棒性的影响J, 计算机学报, 2005, 28(10):1700-170713 李洁,邓一鸣,沈士团, 基于模糊区域分布的分类规则提取及推理算法J, 计算机学报, 2008, 31(6):934-94114 Wang，Misumoto M. “Type-distance fuzzy reasoning methods.”J, Fuzzy System Sympos

46、ium, part1-part17, 12th-19th, 1996.7-2003.9. (in Japanese)15 Xia Yu，Shuoyu Wang， Xianchao Zhao，A health-check system for health-care robot Robotics and Biomimetics (ROBIO)C. 2005 IEEE International Conference on ，2005 :709 - 712.16 Yinlai Jiang, Shuoyu Wang,Adapting directional intention identificat

47、ion in running control of a walker to individual difference with fuzzy learningC, Mechatronics and Automation (ICMA), 2010 International Conference on , 2010: 693 - 698.17 孙知信,徐红霞, 模糊技术在入侵检测系统中的应用研究综述J, 南京邮电大学学报(自然科学版), 2006, 26（4）: 73-78.18 TE-SHUN CHOU,YEN K.K., PISSINOU N., MAKKI K., Fuzzy Belief

48、 Reasoning for Intrusion Detection DesignJ, Intelligent Information Hiding and Multimedia Signal Processing, IIHMSP 2007, Third International Conference: 621 -624.19 张弛,雷英杰,黄孝文, 基于直觉模糊推理的入侵检测方法J, 微电子学与计算机, 2009, 26(11):185-188.20 黄国言，常旭亮，高健培, 模糊逻辑理论在入侵检测系统中的应用研究, 计算机工程与应用,2010，46（8）:110-112.21 张晓宁,冯

49、登国, 基于模糊行为分析的移动自组网入侵检测J, 计算机研究与发展, 2006，43(4): 621-626.22 HO CHOLMAN, LI JINGJIAO, GWAK SONIL, Research of a New Fuzzy Reasoning Method By Moving of Fuzzy Membership FunctionsC, IEEE computer society, IPTC 2010: 297-300.23 野本弘平,等. 再帰形推論J. , 社，1989, 28(10): 63-67.(Kohei Nomoto, et al. Computer and Ap

50、plications Mook ( Japan ). 1989, 28(10):63 - 67)24 林智勇，郝志峰，杨晓伟，若干评价准则对不平衡数据学习的影响J，华南理工大学学报( 自然科学版)，2010，38（4）：147-152HO Chol-man, born in 1969, M.S. His main reasearch interests include network securuty, artificial intelligence, pattern recognization.LI Jing-jiao, born in 1964, professor, Ph.D.super

51、visor. Her main research interests include pattern recognization, embedded system, artificial intelligence, computer architecture.WANG Ai-xia, born in 1974, M.S. Her main research interests include pattern recognization, image process, embedded Linux.GWAK Son-il, born in 1963, Ph.D. His main researc

52、h interests include fuzzy control, artificial intelligence, pattern recognization.Background: There are many researches of the fuzzy reasoning principle, methods and applications based on fuzzy reasoning. I interest researches for IDS using fuzzy reasoning method. Intrusion detection need real time

53、detection. However, methods based on compositional rules, type-distance reasoning and so on, need many complexities, do not satisfy on real time requirement of various applications and logical validity. Therefore, we studied new reasoning principle, the removal fuzzy reasoning and recursive fuzzy re

54、asoning method based CFR that is faster than other and is validity, compared with preceding method. To apply new reasoning method for IDS, using the time difference and the statistical distribution entropy of IP address, fuzzy intrusion detection method was researched. Moreover, using the open sourc

55、e intrusion detection program, Snort, its development was made, and detects intrusion. According to increase of attack computer number, various tests were performed. In addition, using network intrusion database DARPA 98, experiments were performed. Test, found that the proposed fuzzy reasoning meth

56、ods are faster than others, has a little complexity, to be effective in intrusion detection and can be detected other attacks in real time.In this paper, we showed inturusion detection method based on recursive reasoning method that regards the relationship between present result and previous reason

57、ing result. The validity is checked by testing intrusion detection system and proposed method with DARPA 98 dataset as intrusion detection dataset.I hope to study the T-S reasoning method, that is, reasoning based on CRF in future research, to study application for various domains.The work is suppor

58、ted by the National Natural Science Foundation of China under grant No.60970157 and the Doctor Start Foundation of Liaoning Province under grant No.2081019.收稿日期：2011-3-20；修回日期：2011-0-00. 本课题得到国家自然科学基金(60970157)以及辽宁省博士启动基金(2081019)资助.许哲万,男，1969年生，博士研究生，主要研究方向为网络安全、人工智能等. E-mail:hocholman;李晶皎，女，1964年生，教授，博士生导师，主要研究方向为模式识别，嵌入式系统等;王爱侠,女，1974年生，博士研究生，主要研究方向为模式识别，图像处理等；郭先日，男，1963年生，副教授，博士，主要研究方向为模糊控制，人工智能等。联系方式：024-83678543， e-mail: :hocholman通信地址：辽宁省沈阳市和平区文化路3号巷11号 东北大学135信箱（110819）东北大学 信息科学与工程学院 李晶皎 教授14