APROACHES REDUCING ALERTS GENERATED BY MULTIPLE IDSs.pdf

1、隨著計(jì)算機(jī)技術(shù)和網(wǎng)絡(luò)技術(shù)的快速發(fā)展，計(jì)算機(jī)以及網(wǎng)絡(luò)的應(yīng)用已深入到了政治、經(jīng)濟(jì)、軍事和社會(huì)等各領(lǐng)域，然而隨之而來(lái)的網(wǎng)絡(luò)安全問(wèn)題也日益突出?；ヂ?lián)網(wǎng)上紛繁復(fù)雜的攻擊事件，從本質(zhì)上來(lái)說(shuō)，是由于計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)在設(shè)計(jì)、開(kāi)發(fā)、運(yùn)行、維護(hù)、配置過(guò)程中存在漏洞或脆弱性，而外部的威脅利用這些存在的漏洞或脆弱性發(fā)動(dòng)攻擊，從而導(dǎo)致安全事件的發(fā)生。廣泛存在的軟件漏洞給現(xiàn)代社會(huì)的計(jì)算機(jī)、網(wǎng)絡(luò)環(huán)境增加了不安全因素。計(jì)算機(jī)中外部威脅包括對(duì)易受攻擊的服務(wù)項(xiàng)目的網(wǎng)絡(luò)攻擊

2、，對(duì)應(yīng)用程序的數(shù)據(jù)驅(qū)動(dòng)攻擊，基于主機(jī)的攻擊，如權(quán)限提升，未授權(quán)登陸，未授權(quán)瀏覽敏感文件，或惡意軟件（如計(jì)算機(jī)病毒、蠕蟲(chóng)病毒、木馬程序）等。這些行為意在破解資源的完整性，機(jī)密性及可靠性。為保證互聯(lián)網(wǎng)的安全、穩(wěn)定、高效的運(yùn)行，解決各種各樣的網(wǎng)絡(luò)安全問(wèn)題，單純依賴(lài)傳統(tǒng)的防火墻技術(shù)已經(jīng)越來(lái)越不能滿(mǎn)足需求，入侵檢測(cè)系統(tǒng)(IDS)應(yīng)運(yùn)而生。IDS是對(duì)其他安全工具，如防火墻在檢測(cè)網(wǎng)絡(luò)入侵時(shí)的一種有效彌補(bǔ)方法。通常，IDS收集和分析網(wǎng)絡(luò)中的信息，以識(shí)別

3、可能存在的安全缺口，并在檢測(cè)到入侵時(shí)產(chǎn)生警報(bào)。一般情況下，警報(bào)包括如下特征:傳感器ID、警報(bào)ID、警報(bào)產(chǎn)生時(shí)間、警報(bào)產(chǎn)生規(guī)則、源IP地址、目的IP地址、源端口、目的端口、外部參考和警報(bào)類(lèi)別。IDS分為兩類(lèi):一種是基于特征的IDS，基于特征的IDS根據(jù)包特征及流特征對(duì)網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行監(jiān)測(cè)，并將監(jiān)測(cè)結(jié)果提交并驅(qū)動(dòng)各交互系統(tǒng)。另一種是基于異常的IDS，為識(shí)別異常行為，該類(lèi)系統(tǒng)從正常的使用行為中尋找異常。異常檢查技術(shù)依賴(lài)于一個(gè)網(wǎng)絡(luò)正常行為模型。簡(jiǎn)而

4、言之，IDS可用來(lái)檢測(cè)網(wǎng)絡(luò)環(huán)境并在檢測(cè)到非正?；顒?dòng)時(shí)生成相應(yīng)的警報(bào)。然而，IDS生成大量的冗余警報(bào)，給數(shù)據(jù)分析帶來(lái)困難。事實(shí)上，真實(shí)警報(bào)通常被大量的錯(cuò)誤警報(bào)所覆蓋?；谏鲜鰡?wèn)題，本文首先提出一種新的警報(bào)管理框架，并在此基礎(chǔ)上，提出兩種過(guò)濾冗余警報(bào)、提高警報(bào)質(zhì)量的警報(bào)削減方法。
　　本文首先提出一種新的警報(bào)管理框架，該框架主要包括三個(gè)模塊:警報(bào)驗(yàn)證模塊、警報(bào)分類(lèi)模塊和警報(bào)聚合模塊。該框架首先利用預(yù)處理單元收集多種IDS檢測(cè)到的原始警

5、報(bào)，將原始警報(bào)轉(zhuǎn)化為入侵檢測(cè)信息交換格式(Intrusion DetectionMessage Exchange Format，即IDMEF)并抓取警報(bào)重要特征。接著，警報(bào)驗(yàn)證模塊接收預(yù)處理單元輸出的警報(bào)并基于漏洞評(píng)估數(shù)據(jù)驗(yàn)證警報(bào)。其次，警報(bào)分類(lèi)模塊接收驗(yàn)證模塊輸出的警報(bào)并對(duì)其進(jìn)行分類(lèi)，為提高分類(lèi)精度，可以利用不同的子分類(lèi)器對(duì)不同IDS類(lèi)型的警報(bào)進(jìn)行分類(lèi)。最后，警報(bào)聚合模塊接收分類(lèi)模塊輸出的警報(bào)并利用不同的子聚合器對(duì)不同IDS類(lèi)型的警報(bào)

6、進(jìn)行聚合，進(jìn)一步減少警報(bào)數(shù)量。
　　為合理高效的進(jìn)行警報(bào)管理，必須對(duì)IDS監(jiān)測(cè)到的各種漏洞進(jìn)行有效的評(píng)估。為此，本文構(gòu)建了新的綜合漏洞評(píng)估(CVA)方法對(duì)漏洞進(jìn)行綜合評(píng)估。已有漏洞評(píng)估方法主要用來(lái)基于已知的安全漏洞數(shù)據(jù)和網(wǎng)絡(luò)資源構(gòu)建漏洞評(píng)估數(shù)據(jù)，但該數(shù)據(jù)沒(méi)有考慮到不同IDS設(shè)備包含的額外參考信息，給漏洞定位帶來(lái)困難。為解決該問(wèn)題，本文利用多種類(lèi)型的資源，構(gòu)建了綜合漏洞評(píng)估(CVA)數(shù)據(jù)。本文采用威脅文件生成器構(gòu)建CVA數(shù)據(jù)，威脅文

7、件生成器利用以下四種資源數(shù)據(jù)并構(gòu)建這四種數(shù)據(jù)間的關(guān)系:常見(jiàn)的漏洞數(shù)據(jù)庫(kù)如CVE和OSVDB;不同IDS設(shè)備的參考細(xì)節(jié);不同漏洞掃描器以及已有網(wǎng)絡(luò)的網(wǎng)絡(luò)資源細(xì)節(jié)。不同類(lèi)型的資源數(shù)據(jù)描述漏洞的不同信息，如漏洞數(shù)據(jù)庫(kù)（如OSVDB）描述易受該類(lèi)型漏洞攻擊的應(yīng)用、服務(wù)類(lèi)型等信息;IDS描述漏洞的源IP、目的IP、活動(dòng)類(lèi)型、時(shí)間戳、CVE信息及協(xié)議類(lèi)型等信息;漏洞掃描器和網(wǎng)絡(luò)資源描述漏洞的主機(jī)名稱(chēng)、IP地址、協(xié)議及操作系統(tǒng)（類(lèi)型、版本）信息。為進(jìn)

8、一步提高警報(bào)的語(yǔ)義性，本文的警報(bào)驗(yàn)證模塊加入了包括警報(bào)相關(guān)性和可靠性在內(nèi)的警報(bào)額外信息。其中警報(bào)相關(guān)性指警報(bào)和對(duì)應(yīng)漏洞之間的相似性;警報(bào)可靠性與IDS設(shè)備的相關(guān)參數(shù)（如版本號(hào)等）有關(guān)。已有研究表明，對(duì)漏洞進(jìn)行合理的定位可以在很大程度保證警報(bào)驗(yàn)證過(guò)程的準(zhǔn)確性，因此有必要將漏洞定位的過(guò)程標(biāo)準(zhǔn)化。本文在采納OSVDB的同時(shí)，補(bǔ)充了大量IDS設(shè)備的定位細(xì)節(jié)，滿(mǎn)足一個(gè)設(shè)備對(duì)應(yīng)一個(gè)校對(duì)機(jī)的需求，使得漏洞定位更加精準(zhǔn)。因此，CVA數(shù)據(jù)可詳盡地描述漏洞

9、信息，不僅保證了校對(duì)機(jī)的準(zhǔn)確性，還可以有效提高來(lái)自不同IDS設(shè)備的警報(bào)質(zhì)量，從而簡(jiǎn)化安全分析員的工作。
　　入侵檢測(cè)系統(tǒng)檢測(cè)出漏洞后需要對(duì)其進(jìn)行進(jìn)一步的驗(yàn)證，通過(guò)過(guò)濾不相關(guān)警報(bào)、對(duì)相似警報(bào)進(jìn)行聚類(lèi)等方法對(duì)其進(jìn)行簡(jiǎn)化，以便后續(xù)分析，為此，本文提出一種基于警報(bào)驗(yàn)證和警報(bào)聚合的方法來(lái)提高警報(bào)質(zhì)量。首先，該方法接收多IDS檢測(cè)到的原始警報(bào)，將原始警報(bào)轉(zhuǎn)化為入侵檢測(cè)信息交換格式并抓取警報(bào)重要特征。警報(bào)預(yù)處理單元將其依次傳送到警報(bào)驗(yàn)證模塊和警

10、報(bào)聚合模塊。警報(bào)驗(yàn)證模塊旨在利用綜合漏洞評(píng)估數(shù)據(jù)驗(yàn)證警報(bào)，提高多IDS檢測(cè)到的警報(bào)的準(zhǔn)確性。該模塊通過(guò)測(cè)量警報(bào)特征與CVA數(shù)據(jù)中漏洞特征之間的匹配程度計(jì)算漏洞與網(wǎng)絡(luò)之間的相似性得分，得分越高，入侵成功的可能性越大。這里執(zhí)行一系列的重分組實(shí)驗(yàn)，以確定錯(cuò)誤警報(bào)與正確警報(bào)之間最好的分類(lèi)閾值。
　　為提高警報(bào)驗(yàn)證模塊的性能，本文對(duì)不同類(lèi)型的攻擊，采用不同的警報(bào)子校對(duì)機(jī)。涉及到的不同攻擊類(lèi)型包括:Dos、Telnet、FTP、MySql、S

11、ql和未定義攻擊，不同類(lèi)型的警報(bào)子校隊(duì)機(jī)對(duì)應(yīng)不同類(lèi)型的攻擊。引入多個(gè)警報(bào)子校對(duì)機(jī)處理警報(bào)有兩個(gè)優(yōu)點(diǎn):一是不用考慮網(wǎng)絡(luò)使用何種類(lèi)型的IDS設(shè)備;二是在使用多個(gè)IDS設(shè)備的相對(duì)大型網(wǎng)絡(luò)中，調(diào)度更加容易。警報(bào)驗(yàn)證模塊處理警報(bào)的基本步驟如下:1）按以下順序比較預(yù)處理過(guò)的警報(bào)和CVA數(shù)據(jù)中對(duì)應(yīng)漏洞之間的特征是否匹配:IP、參考驗(yàn)證碼、端口、時(shí)間、程序類(lèi)型、協(xié)議、種類(lèi)、名字和等級(jí);為簡(jiǎn)化處理過(guò)程，若特征匹配，則對(duì)應(yīng)特征匹配得分為1，否則為0;2）從

12、CVA數(shù)據(jù)中找到相對(duì)應(yīng)的漏洞，利用警報(bào)的目的IP地址從CVA數(shù)據(jù)中抓取漏洞信息;3）計(jì)算每一個(gè)和漏洞有關(guān)的警報(bào)相關(guān)分?jǐn)?shù)并從中選擇分?jǐn)?shù)最高的警報(bào);4）基于警報(bào)相關(guān)分?jǐn)?shù)對(duì)警報(bào)進(jìn)行進(jìn)一步分類(lèi)。這里我們將警報(bào)按照警報(bào)相關(guān)分?jǐn)?shù)分為三組:理想相關(guān)警報(bào)，部分相關(guān)警報(bào)和不相關(guān)警報(bào);5）將理想相關(guān)警報(bào)和部分相關(guān)警報(bào)傳送至警報(bào)聚合模塊;6)去除不相關(guān)警報(bào)。進(jìn)行實(shí)驗(yàn)時(shí)，本文使用三種不同的網(wǎng)絡(luò)特征型IDS，分別為Snort、Prelude和Shoki。IDS設(shè)

13、備使用其默認(rèn)的規(guī)則集。警報(bào)發(fā)出和CVA數(shù)據(jù)的存儲(chǔ)由一臺(tái)電腦完成。測(cè)試機(jī)器分為兩組:目標(biāo)機(jī)器和攻擊機(jī)器。我們的實(shí)驗(yàn)產(chǎn)生931個(gè)Snort警報(bào)，912個(gè)Prelude警報(bào)和965個(gè)Shoki警報(bào)。15％的警報(bào)為利用了漏洞的攻擊（即相關(guān)攻擊），85％的警報(bào)表示沒(méi)有利用漏洞的攻擊。首先比較警報(bào)驗(yàn)證模塊處理前后警報(bào)的準(zhǔn)確度和發(fā)現(xiàn)率。警報(bào)驗(yàn)證模塊處理前，報(bào)告DoS、Telnet、FTP、MySql、Sql等各種攻擊的原始精確度分別為13.2％，12

14、.9％，14.36％，12.7％和12.46％。經(jīng)過(guò)警報(bào)驗(yàn)證模塊處理之后，各個(gè)警報(bào)的精確度分別為87.43％，96.46％，97.03％，94.33％和92.96％;而警報(bào)的發(fā)現(xiàn)率則沒(méi)有太大影響。接著，驗(yàn)證該方法可以處理來(lái)自不同IDS設(shè)備的警報(bào)，我們發(fā)現(xiàn)該方法輸入的原始警報(bào)的數(shù)量是最大的，大概為其他只能處理單一警報(bào)方法的三倍，并且該方法在精確度上效果很好。實(shí)驗(yàn)結(jié)果表明:1）不同IDS設(shè)備生成的警報(bào)準(zhǔn)確性很低，需要采用警報(bào)驗(yàn)證技術(shù)提高警報(bào)

15、準(zhǔn)確性;2）新提出的方法確實(shí)可以處理多個(gè)IDS設(shè)備產(chǎn)生的警報(bào)。
　　隨著多階段入侵的增加，產(chǎn)生大量難以處理的冗余警報(bào)。實(shí)際上，一個(gè)單一入侵可以產(chǎn)生多個(gè)具有相同特征的警報(bào)。通常，單一冗余警報(bào)的分析可能只提供有關(guān)攻擊的部分信息，因此它對(duì)于解開(kāi)攻擊的真正模式?jīng)]有太多價(jià)值。為了解決這個(gè)問(wèn)題，需要將多步入侵中每一步的冗余警報(bào)和孤立警報(bào)進(jìn)行融合，以此獲得不同IDS產(chǎn)品攻擊的綜合特征。本文提出的警報(bào)聚合模塊可以減少特定時(shí)間窗口內(nèi)同一攻擊活動(dòng)的不

16、相關(guān)警報(bào)和冗余警報(bào)。將警報(bào)聚合為元警報(bào)并不能全面有效減少無(wú)用警報(bào)。事實(shí)上，網(wǎng)絡(luò)（含多個(gè)IDS設(shè)備）中出現(xiàn)某特定攻擊時(shí)，不同IDS設(shè)備生成的警報(bào)，它們?cè)谠吹刂?、目?biāo)地址和參考識(shí)別碼可能是相似的。這種警報(bào)需要根據(jù)共有特性（如參考識(shí)別碼、源地址和目標(biāo)地址）進(jìn)一步聚合，以便減少冗余警報(bào)。為此，本文利用元警報(bào)的概念提出了警報(bào)聚合模塊，元警報(bào)包含某個(gè)已知攻擊的總信息。元警報(bào)聚合器進(jìn)一步處理警報(bào)并以聚合元警報(bào)形式輸出。為簡(jiǎn)化警報(bào)聚合過(guò)程，我們利用警報(bào)

17、子聚合器處理不同類(lèi)型的警報(bào)，本文涉及到的攻擊類(lèi)型有:DoS、Telnet、FTP、MySql、Sql和未定義類(lèi)型，不同類(lèi)型的警報(bào)子聚合器聚合不同攻擊類(lèi)型的警報(bào)并以元警報(bào)的形式進(jìn)行輸出。為更好的了解工作過(guò)程，我們定義了元警報(bào)M的幾個(gè)參數(shù)。M.Attack_ class:元警報(bào)代表的攻擊類(lèi)型;M.Nbrealerts:元警報(bào)包含的警報(bào)個(gè)數(shù);M.Rel:元警報(bào)關(guān)聯(lián)性;M.non-updatetime:元警報(bào)最近一次更新后過(guò)去的時(shí)間;M.cre

18、atetime:元警報(bào)的創(chuàng)建時(shí)間等等。警報(bào)聚合過(guò)程如下:1)特定攻擊類(lèi)型的子聚合器利用有效警報(bào)的IP地址識(shí)別潛在的元警報(bào);2）子聚合器測(cè)量元警報(bào)和有效警報(bào)之間的相似性，以找到與新型警報(bào)最相似的元警報(bào);本文中，我們僅僅將和元警報(bào)完全匹配的警報(bào)加入到元警報(bào)中;3）將多種類(lèi)型的元警報(bào)再次進(jìn)行聚合，輸出最后的聚合元警報(bào)。和以往相比，本文最大的特點(diǎn)是可以利用不同的警報(bào)聚合器和對(duì)應(yīng)的子警報(bào)聚合器處理來(lái)自不同IDS設(shè)備的警報(bào)。該特點(diǎn)不僅簡(jiǎn)化了警報(bào)聚合

19、過(guò)程，還提高了警報(bào)質(zhì)量。進(jìn)行實(shí)驗(yàn)時(shí)，我們首先分析被驗(yàn)證警報(bào)的消減率。結(jié)果表明:不同警報(bào)子聚合器有效警報(bào)的消減率達(dá)到50％左右，大大減少了警報(bào)數(shù)量。接著，驗(yàn)證元警報(bào)的消減率。結(jié)果表明:共享元警報(bào)的消減率達(dá)到70％左右。最后，將本方法與其他類(lèi)似方法比較。結(jié)果表明:新提出方法在錯(cuò)誤警報(bào)和冗余警報(bào)的消減率上都明顯高于其他方法，分別可達(dá)到86.6％和76.8％?？偟膩?lái)說(shuō)，本文方法大幅度減少了主動(dòng)錯(cuò)誤信息和冗余警報(bào)。
　　除上述警報(bào)削減方法外

20、，為解決IDS產(chǎn)生大量冗余數(shù)據(jù)的問(wèn)題，本文還提出一種基于聚類(lèi)和hash技術(shù)的警報(bào)削減方法，該方法將多種IDS檢測(cè)到的行為相似或特征相似的警報(bào)進(jìn)行聚類(lèi)，過(guò)濾不相關(guān)警報(bào)，以簡(jiǎn)化多種傳感器檢測(cè)到的警報(bào)。
　　已有聚類(lèi)算法僅基于警報(bào)發(fā)生時(shí)間、目的IP及信號(hào)特征對(duì)相似警報(bào)進(jìn)行聚類(lèi)，然而這些信息并不能很好的表示警報(bào)，導(dǎo)致聚類(lèi)結(jié)果欠佳。因此，本文增加聚類(lèi)特征個(gè)數(shù)，并利用hash技術(shù)進(jìn)行聚類(lèi)，以提高聚類(lèi)效果。在預(yù)定義的每個(gè)時(shí)間窗口，判斷警報(bào)之間的

21、相似性，對(duì)相似警報(bào)進(jìn)行聚類(lèi)，直到所有警報(bào)被分組到單個(gè)警報(bào)集群。已有研究表明，基于多種傳感器的聚類(lèi)效果更優(yōu)。因此，本文考慮多種類(lèi)型的傳感器，分析警報(bào)的不同行為，進(jìn)一步對(duì)警報(bào)進(jìn)行分類(lèi)。
　　為更好的利用警報(bào)信息，本文選取七種特征表示警報(bào)。本文算法包含兩個(gè)階段。第一階段進(jìn)行警報(bào)預(yù)處理。通過(guò)移除不相關(guān)警報(bào)、重復(fù)警報(bào)對(duì)多IDS產(chǎn)生的警報(bào)進(jìn)行過(guò)濾，然后利用選取的七種特征表示每一個(gè)警報(bào)。第二個(gè)階段利用已有的三種聚類(lèi)算法進(jìn)行聚類(lèi)。在第一個(gè)時(shí)間窗口

22、tw，執(zhí)行第一個(gè)聚類(lèi)算法Initial AlertClustering and Reduction Algorithm。將t1（算法起始時(shí)間）至tw時(shí)間段內(nèi)生成的警報(bào)按類(lèi)分組，并在組內(nèi)進(jìn)行聚類(lèi)。在接下來(lái)的時(shí)間窗口利用兩種算法進(jìn)行聚類(lèi)。聚類(lèi)算法Alerts Joining Clustering and reduction將Initial Alert Clustering and ReductionAlgorithm的聚類(lèi)結(jié)果作為起始聚類(lèi)輸

23、入，該算法起始時(shí)間更新為t1+tw，檢查下一個(gè)時(shí)間窗口tw生成的警報(bào)的行為并將其加入到合適的起始聚類(lèi)中;聚類(lèi)算法AlertsClustering based on Hash Value在已有聚類(lèi)中利用hash值進(jìn)一步聚類(lèi)。處理大大減少冗余警報(bào)數(shù)量，本文算法另一個(gè)優(yōu)點(diǎn)是可以不基于已有的相似性函數(shù)對(duì)不同聚類(lèi)中的相似警報(bào)進(jìn)行分組，大大減小了時(shí)間復(fù)雜度。進(jìn)行實(shí)驗(yàn)時(shí)，這里使用兩種不同的網(wǎng)絡(luò)特征型IDS、Snort和Prelude。IDS設(shè)備使用其

24、默認(rèn)的規(guī)則集。本文的實(shí)驗(yàn)產(chǎn)生1579個(gè)Snort警報(bào)，警報(bào)分類(lèi)算法處理前，DoS，Telnet，F(xiàn)TP，MySql，Sql等各種攻擊的原始精確度分別為16.5％、12.4％、14.1％、13.9％和15.1％，探測(cè)率分別為92.5％、87.9％、97.9％、95.7％和96.8％。此外，本文實(shí)驗(yàn)生成1551個(gè)Prelude警報(bào)。警報(bào)分類(lèi)算法處理前，DoS，Telnet，F(xiàn)TP，MySql，Sql等各種攻擊的原始精確度分別為11.1％、1

25、3.4％、15.2％、11.1％和12.8％，探測(cè)率分別為84.2％、91.4％、97％、89.7％和89.3％。經(jīng)過(guò)警報(bào)驗(yàn)證模塊處理之后，兩種警報(bào)的平均精確度分別為87.8％、94.9％、97.3％、96.2％和96.3％;而警報(bào)的發(fā)現(xiàn)率則分別為88.37％、87.5％、96.3％、91.6％和91.2％。結(jié)果表明，該分類(lèi)算法在警報(bào)探測(cè)率變化不大的情況下，大大提高了警報(bào)準(zhǔn)確率。接著，將本文算法與已有算法進(jìn)行對(duì)比，結(jié)果表明，本文算法在警

26、報(bào)探測(cè)率和準(zhǔn)確率上均優(yōu)于已有算法。最后，評(píng)估每類(lèi)警報(bào)的削減率，實(shí)驗(yàn)結(jié)果表明，DoS，Telnet，F(xiàn)TP，MySql，Sql的削減率分別為96.3％、96.7％、97.1％、95.5％和95.6％。大量的實(shí)驗(yàn)結(jié)果表明，本文選取的七種特征可以很好的表示警報(bào)，基于此七種特征的警報(bào)分類(lèi)算法不僅大大增加了警報(bào)準(zhǔn)確度，hash技術(shù)的應(yīng)用還大大提高了算法的時(shí)間效率。
　　總的來(lái)說(shuō)，本文首先提出一種新的警報(bào)管理框架，該框架旨在過(guò)濾不相關(guān)警報(bào)，簡(jiǎn)

27、少冗余警報(bào)，實(shí)現(xiàn)對(duì)警報(bào)的高效管理。本文提出的警報(bào)管理框架主要包含三個(gè)模塊:警報(bào)驗(yàn)證模塊、警報(bào)分類(lèi)模塊和警報(bào)聚合模塊。為了對(duì)ID監(jiān)測(cè)到的各種漏洞進(jìn)行有效的評(píng)估，本文構(gòu)建了新的綜合漏洞評(píng)估(CVA)方法。綜合漏洞評(píng)估方法包含多種類(lèi)型的數(shù)據(jù)，不僅保證了校隊(duì)機(jī)的準(zhǔn)確性，還可以提高不同IDS檢測(cè)到的警報(bào)的質(zhì)量。在此基礎(chǔ)上，本文提出一種基于警報(bào)驗(yàn)證和警報(bào)聚合的警報(bào)削減方法來(lái)過(guò)濾不相關(guān)警報(bào)，減少冗余警報(bào)。該方法分為兩個(gè)部分，警報(bào)驗(yàn)證和警報(bào)聚合。警報(bào)驗(yàn)

28、證模塊接收預(yù)處理單元輸出的警報(bào)，利用CVA數(shù)據(jù)計(jì)算入侵和對(duì)應(yīng)網(wǎng)絡(luò)內(nèi)容之間的相關(guān)分?jǐn)?shù)來(lái)區(qū)分錯(cuò)誤警報(bào)和正確警報(bào)，以過(guò)濾不相關(guān)警報(bào)和冗余警報(bào)。為提高性能，本文利用不同的子校隊(duì)機(jī)對(duì)不同IDS類(lèi)型的警報(bào)進(jìn)行驗(yàn)證。接著，警報(bào)聚合模塊接收驗(yàn)證模塊輸出的警報(bào)并根據(jù)警報(bào)共有特性對(duì)其進(jìn)行聚合。為此，本文提出元警報(bào)聚合模塊，元警報(bào)包含某個(gè)已知攻擊的總信息和，本文利用元警報(bào)的概念進(jìn)一步處理警報(bào)并以聚合元警報(bào)形式輸出，大大減少了冗余警報(bào)。此外，除上述警報(bào)管理框架