網絡安全管理系統(tǒng)中告警融合技術的研究設計.pdf

1、隨著近年來網絡的普及，網絡攻擊和非法訪問飛速增長，網絡安全的形勢日益嚴峻。為了保證內部網絡中的計算機和網絡系統(tǒng)的安全，網絡管理人員在其內部網絡中構建起由防火墻、防病毒服務器、入侵檢測系統(tǒng)等眾多安全設備組成的防御體系，各類安全設備產生大量各類告警。告警特點有：告警量過大，誤警率高；告警信息非?，嵥?，于告警的分析和理解比較困難。這樣的告警信息直接影響著對攻擊的分析和及時響應，也將占用安全管理員的大量的處理時間。大量的重復告警，虛假告警，無意

2、義告警，給網絡安全管理帶來了極大困難，幾乎超過了人力處理的能力極限。
　　 在這個背景下，為有效處理告警信息，告警融合技術開始得到人們的關注。告警融合包括合并重復告警，過濾無意義和錯誤告警，組合瑣碎告警和對告警優(yōu)先級進行判別等過程，以達到處理后提高告警的信息量和準確率，減少告警量的目的。目前國內外都在進行廣泛的研究，并且已經取得了一定的成果。采用概率的方法難以揭示告警之間的關系，并且難點在于需要找出先驗概率。采用狀態(tài)轉移的方法需

3、要對每種攻擊進行關聯(lián)，工作量大。采用歐氏距離的方法難于確定閾值。
　　 論文提出的先對告警進行分類，通過分析歷史告警數據庫得到告警概率和相關數據，進而基于有限狀態(tài)自動機進行告警融合，最后根據有限狀態(tài)自動機歷經的狀態(tài)和告警概率相關數據建立貝葉斯網絡，計算告警信度的方法，解決了告警融合體系中的一些難題，同時具備對新入侵行為的學習能力。
　　 論文第一章介紹了我國網絡發(fā)展現狀和網絡安全形勢現狀。第二章隨后介紹入侵檢測技術和告警