入侵檢測系統(tǒng)告警信息融合技術(shù)研究.pdf

1、由于網(wǎng)絡(luò)應(yīng)用日趨復(fù)雜，呈現(xiàn)多元化、多服務(wù)、多應(yīng)用等特征。單一的檢測方法和檢測系統(tǒng)難以檢測各種復(fù)雜攻擊，綜合多種檢測技術(shù)（誤用檢測、異常檢測）和多個檢測系統(tǒng)能夠有效提高檢測的準(zhǔn)確性。然而各種 IDS在檢測過程中會產(chǎn)生大量獨立的、原始的告警信息，這些告警信息除了具有海量的特點外，還有比較高的誤報率和漏報率，由于真正的攻擊隱藏在大量誤警中，導(dǎo)致很難從中識別真正的攻擊和對攻擊及時做出響應(yīng)。這就需要對源自不同檢測方法和檢測系統(tǒng)的檢測結(jié)果進(jìn)行數(shù)據(jù)融

2、合處理，得到一個綜合的判別結(jié)果，同時為了能夠適應(yīng)攻擊預(yù)警、計算機(jī)網(wǎng)絡(luò)的安全狀態(tài)評估等高層次的安全需求，同樣需要對大跨度時間和空間的多個入侵檢測系統(tǒng)的告警信息進(jìn)行數(shù)據(jù)融合處理。
　　本文針對現(xiàn)有IDS告警融合研究的現(xiàn)狀，通過對各種融合技術(shù)的分析比較，提出了一個對入侵檢測告警信息進(jìn)行融合處理的系統(tǒng)模型。主要工作有：
　　①針對IDS原始告警信息的不足和其特點，在對其進(jìn)行預(yù)處理的基礎(chǔ)上，設(shè)計了一種對原始告警進(jìn)行聚合的算法。

3、　?、谠趯DS原始告警進(jìn)行聚合的基礎(chǔ)上，提出了一種全新的基于攻擊意圖分析與因果關(guān)聯(lián)的模糊入侵關(guān)聯(lián)方法。該方法利用基于規(guī)則的模糊認(rèn)知圖（RBFCM）為模板，把入侵警報與安全策略相聯(lián)系，結(jié)合系統(tǒng)脆弱性與配置信息對入侵進(jìn)行關(guān)聯(lián)。此關(guān)聯(lián)方法不僅能識別復(fù)合攻擊的各個階段、構(gòu)建出完整的攻擊視圖，還能對復(fù)合攻擊的各個階段的攻擊后果進(jìn)行評判。
　　③在算法基礎(chǔ)上，本文設(shè)計了一個IDS告警融合處理的系統(tǒng)模型，此模型包含預(yù)處理、聚合、合并和關(guān)聯(lián)四個