考慮置信度的告警信息融合技術(shù)的研究.pdf

1、近年來(lái)，為了解決傳統(tǒng)的入侵檢測(cè)系統(tǒng)存在的誤警率過(guò)高，告警量過(guò)大，單個(gè)告警所包含信息量過(guò)少等缺陷，信息融合技術(shù)在IDS領(lǐng)域得到了廣泛應(yīng)用。然而，此前的研究很少考慮到IDS告警的置信度問(wèn)題，具體算法往往認(rèn)為只要IDS設(shè)備發(fā)出告警就代表了網(wǎng)絡(luò)中存在真正的入侵，然而由于IDS設(shè)備本身性能的問(wèn)題，存在一定的誤報(bào)率，且同一IDS設(shè)備在各個(gè)特定的告警領(lǐng)域表現(xiàn)的性能也不盡相同。在大規(guī)模網(wǎng)絡(luò)環(huán)境下進(jìn)行告警信息融合，如果不加區(qū)分地平等對(duì)待每個(gè)IDS設(shè)備，不

2、考慮它們之間的性能差異，信息融合的結(jié)果和實(shí)際情況有較大的出入，沒(méi)有充分發(fā)揮出信息融合的優(yōu)勢(shì)。 本文結(jié)合當(dāng)今IDS告警融合研究的現(xiàn)狀，在考慮告警置信度的基礎(chǔ)之上，在告警融合方面提出了一些自己的見(jiàn)解，其主要工作有： 1、在考慮告警置信度的基礎(chǔ)上，設(shè)計(jì)了一個(gè)較詳盡的告警融合算法。和以往算法平等對(duì)待所有IDS設(shè)備不同，本文算法引入了置信度的概念，并將告警置信度作為告警的獨(dú)立屬性加載到整個(gè)算法中，此算法根據(jù)專(zhuān)家知識(shí)對(duì)每個(gè)原始告警賦

3、予初始置信度，然后通過(guò)對(duì)多個(gè)信息源產(chǎn)生的告警信息進(jìn)行聚類(lèi)、合并和關(guān)聯(lián)處理生成高質(zhì)量的告警和攻擊場(chǎng)景圖，高級(jí)告警置信度根據(jù)D-S證據(jù)理論合并各原始告警置信度得來(lái)。 2．在算法基礎(chǔ)上，本文設(shè)計(jì)了一個(gè)IDS告警融合處理模型，此模型包含預(yù)處理、聚類(lèi)、合并和關(guān)聯(lián)四個(gè)不同的模塊，分別對(duì)應(yīng)融合算法中設(shè)計(jì)的各個(gè)步驟。其中聚類(lèi)模塊把相似告警聚合在一起，關(guān)聯(lián)模塊利用各告警前件與后件之間的因果關(guān)系進(jìn)行關(guān)聯(lián)運(yùn)算，產(chǎn)生攻擊場(chǎng)景圖。融合模塊能在一定程度上減

4、少告警洪流、降低誤警率，并能綜合各個(gè)孤立告警的信息。 3．作者簡(jiǎn)單實(shí)現(xiàn)了算法，并用DARPA標(biāo)準(zhǔn)數(shù)據(jù)集進(jìn)行了驗(yàn)證，實(shí)驗(yàn)的數(shù)據(jù)表明，考慮置信度的融合算法能有效降低誤警率，管理員需要處理的告警數(shù)大大降低，且算法還能成功發(fā)現(xiàn)多步攻擊。 考慮置信度的IDS告警融合算法和前人已有的算法最大不同之處是它考慮了告警的可信度，并將其作為告警的一個(gè)獨(dú)立屬性引入到算法中來(lái)，這樣算法就達(dá)到更有效消除冗余告警的目的，同時(shí)實(shí)現(xiàn)不同入侵檢測(cè)系統(tǒng)之間