入侵檢測系統(tǒng)中告警融合機制的研究.pdf

1、近年來，隨著互聯(lián)網(wǎng)的高速發(fā)展，網(wǎng)絡(luò)安全事件數(shù)量激增。入侵檢測系統(tǒng)在面對海量事件時通常會產(chǎn)生大量告警，這些告警中包含了許多誤報和冗余告警，這都嚴重削弱了入侵檢測系統(tǒng)在實際應(yīng)用中所發(fā)揮的作用。因此，對入侵檢測系統(tǒng)所產(chǎn)生告警進行融合處理就非常重要，這將能夠提高入侵檢測系統(tǒng)發(fā)現(xiàn)網(wǎng)絡(luò)安全事件的準確率。 本文在首先介紹了入侵檢測的基本概念之后，對當(dāng)前流行的分布式入侵檢測系統(tǒng)結(jié)構(gòu)以及實現(xiàn)進行了歸納和整理。同時，提出了基于協(xié)議分析的原始數(shù)據(jù)過濾

2、機制、基于專家系統(tǒng)的入侵檢測告警過濾機制和基于告警類關(guān)聯(lián)的初級告警融合機制。 基于協(xié)議分析的原始數(shù)據(jù)過濾機制通過采用協(xié)議分析來過濾原始數(shù)據(jù)，減少誤告警，而且該機制能夠應(yīng)用于IPv4和IPv6兩種網(wǎng)絡(luò)。 基于專家系統(tǒng)的入侵檢測告警過濾機制使用專家系統(tǒng)，利用知識庫的知識，通過過濾引擎，對原始告警進行過濾，可以減少誤告警，為進一步的告警融合做好了準備。 基于告警類關(guān)聯(lián)的初級告警融合機制在基于協(xié)議分析的原始數(shù)據(jù)過濾和基于