入侵檢測(cè)系統(tǒng)告警信息融合技術(shù)研究.pdf

1、由于網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜，呈現(xiàn)多元化、多服務(wù)、多應(yīng)用等特征。單一的檢測(cè)方法和檢測(cè)系統(tǒng)難以檢測(cè)各種復(fù)雜攻擊，綜合多種檢測(cè)技術(shù)（誤用檢測(cè)、異常檢測(cè)）和多個(gè)檢測(cè)系統(tǒng)能夠有效提高檢測(cè)的準(zhǔn)確性。然而各種 IDS在檢測(cè)過程中會(huì)產(chǎn)生大量獨(dú)立的、原始的告警信息，這些告警信息除了具有海量的特點(diǎn)外，還有比較高的誤報(bào)率和漏報(bào)率，由于真正的攻擊隱藏在大量誤警中，導(dǎo)致很難從中識(shí)別真正的攻擊和對(duì)攻擊及時(shí)做出響應(yīng)。這就需要對(duì)源自不同檢測(cè)方法和檢測(cè)系統(tǒng)的檢測(cè)結(jié)果進(jìn)行數(shù)據(jù)融

2、合處理，得到一個(gè)綜合的判別結(jié)果，同時(shí)為了能夠適應(yīng)攻擊預(yù)警、計(jì)算機(jī)網(wǎng)絡(luò)的安全狀態(tài)評(píng)估等高層次的安全需求，同樣需要對(duì)大跨度時(shí)間和空間的多個(gè)入侵檢測(cè)系統(tǒng)的告警信息進(jìn)行數(shù)據(jù)融合處理。
　　本文針對(duì)現(xiàn)有IDS告警融合研究的現(xiàn)狀，通過對(duì)各種融合技術(shù)的分析比較，提出了一個(gè)對(duì)入侵檢測(cè)告警信息進(jìn)行融合處理的系統(tǒng)模型。主要工作有：
　?、籴槍?duì)IDS原始告警信息的不足和其特點(diǎn)，在對(duì)其進(jìn)行預(yù)處理的基礎(chǔ)上，設(shè)計(jì)了一種對(duì)原始告警進(jìn)行聚合的算法。

3、　?、谠趯?duì)IDS原始告警進(jìn)行聚合的基礎(chǔ)上，提出了一種全新的基于攻擊意圖分析與因果關(guān)聯(lián)的模糊入侵關(guān)聯(lián)方法。該方法利用基于規(guī)則的模糊認(rèn)知圖（RBFCM）為模板，把入侵警報(bào)與安全策略相聯(lián)系，結(jié)合系統(tǒng)脆弱性與配置信息對(duì)入侵進(jìn)行關(guān)聯(lián)。此關(guān)聯(lián)方法不僅能識(shí)別復(fù)合攻擊的各個(gè)階段、構(gòu)建出完整的攻擊視圖，還能對(duì)復(fù)合攻擊的各個(gè)階段的攻擊后果進(jìn)行評(píng)判。
　　③在算法基礎(chǔ)上，本文設(shè)計(jì)了一個(gè)IDS告警融合處理的系統(tǒng)模型，此模型包含預(yù)處理、聚合、合并和關(guān)聯(lián)四個(gè)