期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

基于IDMEF和分类的报警聚合 被引量:6

Alert aggregation based on IDMEF and category
下载PDF
导出
摘要 如何聚合来自不同IDS的报警以减少重复报警是分布式IDS研究的重要问题。设计了一种入侵检测消息交换格式(IDMEF)报警消息格式规范,通过对IDMEF数据模型中的Alert类扩展而成,可统一描述不同IDS上报的报警信息。为有效聚合IDMEF报警,对基于分类和相似度的原始报警聚合算法进行了改进,并在Snort平台上实现了报警聚合模块原型和IDMEF报警生成模块原型。在DARPA99数据集上的实验结果证明了该方案的有效性。 How to aggregate and reduce duplicated alerts from different Intrusion Detection System (IDS) is one of the most important problems in distributed IDS research area. The article proposed a type of Intrusion Detection Message Exchange Format (IDMEF) alert specification extending the alert class structure of IDMEF data model to universally define the format of the alerts originating from different IDS. In order to efficiently aggregate this new type of IDMEF alerts, the article proposed an improvement to the original algorithm that was based on category and similarity. The prototype of alert aggregation module and IDMEF alert generation module has been implemented on the Snort platform. Experiments on DARPA99 data sets demonstrate the effectiveness of our method.
作者 郭帆 叶继华 余敏
机构地区 江西师范大学计算机信息工程学院
出处 《计算机应用》 CSCD 北大核心 2008年第1期250-253,共4页 journal of Computer Applications
基金 国家973计划项目(2006CB303006) 江西省教育厅科技项目(2006070)
关键词 报警 聚合 IDMEF 分类 alert aggregation Intrusion Detection Message Exchange Format (IDMEF) category
分类号 TP393.08 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献12

  • 1PORRAS P. The common intrusion detection framework architecture [ EB/OL]. [ 1999 - 09 - 10]. http://gost, isi. edu/cidf/drafts/architecture, txt.
  • 2CUPPENS F. Managing alerts in a multi-intrusion detection environ-ment [ C]//Proceedings of 17th Annual Computer Security Applications Conference (ACSAC). Washington: IEEE Computer Society Press, 2001,22 - 31.
  • 3郭帆,余敏,叶继华.一种基于关联和代理的分布式入侵检测模型[J].计算机应用,2007,27(5):1050-1053. 被引量:6
  • 4DEBAR H. The intrusion detection message exchange format [ EB/ OL]. [ 2006 - 03 - 16 ]. http://www, ieff. org/internet-drafts/ draft -ietf-idwg-idmef-xml-16. txt.
  • 5郭帆,余敏,叶继华.一种基于分类和相似度的报警聚合方法[J].计算机应用,2007,27(10):2446-2449. 被引量:11
  • 6POPPI S. Snort IDMEF plugin[ EB/OL]. [ 2005 - 11 - 15]. http://soureeforge, net/projeets/snort-idmef.
  • 7MIT Lincoln Labs. 1999 DARPA intrusion detection evaluation [ EB/OL]. [ 1999 - 12 - 10]. http://www. Ⅱ. mit. edu/IST/ideval/index, html.
  • 8裴晋泽,肖枫涛,胡华平,黄辰林.统一入侵检测报警信息格式提案及其实现[J].计算机应用研究,2006,23(2):107-110. 被引量:4
  • 9王晓程,刘恩德,谢小权.攻击分类研究与分布式网络入侵检测系统[J].计算机研究与发展,2001,38(6):727-734. 被引量:75
  • 10DAIN O, CUNNINGHAM R. Fusing a heterogeneous alert stream into scenarios[ C]//Proceedings of the 2001 ACM Workshop on Data Mining for Security Applications. Philadelphia: ACM Press, 2001,1 - 13.

二级参考文献31

  • 1穆成坡,黄厚宽,田盛丰,林友芳,秦远辉.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685. 被引量:49
  • 2穆成坡,黄厚宽,田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展,2006,43(1):1-8. 被引量:70
  • 3Jou Yfrank,Rome Lab USA Tech Rep:CDRL A005 1997
  • 4FabioArciniegas.XML开发指南[M].北京:清华大学出版社,2003.73-170.
  • 5Staniford-Chen S, et al. The Common Intrusion Detection Framework(CIDF)[C]. Orlando, Florida: ISW'98 Workshop, 1998.
  • 6D Curry, H Debar. Intrusion Detection Message Exchange Format Data Model and Extensible Markup Language (XML) Document Type Definition [EB/OL], http://xml.coverpages.org/draft-letf-idwg-id-mef-xml-10. txt, 2002-02.
  • 7World Wide Web Consortium (W3C). Extensible Markup Language(XML) [ EB/OL], http ://www.w3. org/TR/1998/REC-xml-19980-210,1998-02.
  • 8CVE Editorial Board. The Common Vulnerabilities and Exposures[EB/OL]. http://www.eve. mitre.org, 2003-09.
  • 9ROESCHM.Snort user manual2.6.0[EB/OL].http://www.snort.org/docs/snort_htmanuals/htmanual_261/,2006-05-23.
  • 10PORRAS P.The common intrusion detection framework architecture[EB/OL].http://gost.isi.edu/cidf/drafts/architecture.txt,1999-09 -10.

共引文献91

同被引文献47

引证文献6

二级引证文献17

计算机应用
2008年 第1期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部