期刊文献+
任意字段
题名或关键词
题名
关键词
文摘
作者
第一作者
机构
刊名
分类号
参考文献
作者简介
基金资助
栏目信息

一种改进的多源异构告警聚合方案 被引量:7

Improved multi-source heterogeneous alert aggregation scheme
下载PDF
导出
摘要 各类网络安全防御设备产生的大量冗余告警信息非常琐碎、误警率高,给告警的分析和理解造成较大困难。针对这一问题进行研究,提出一种改进的多源异构告警数据的聚合方案,综合分析告警类型、源IP、目的 IP、目的端口及时间间隔几个属性,总结出四个规则,并在聚合过程中动态更新时间间隔阈值,提高聚合精确度。实验结果表明,这种方法能高效减少异构告警信息的数量,得到精简的超告警数据,并实现了实时处理告警信息的能力。 Various types of network security devices generated a large number of redundant alarm information with the high rate of false alarms. Alarm information is very trivial which is more difficult to analysis and understand the alarm. In order to research this problem, this paper proposed an alert aggregation method for muhi-source heterogeneous alarm. By analyzing alarm type, source IP, destination IP, destination port and time interval, it summed up four rules, dynamically updated the time interval threshold and improved degree of accuracy. The experimental results show that this method can efficiently reduce the number of heterogeneous alarm information, get simplified super alarm data, and realize the real-time processing ability of the alarm information.
作者 黄林 吴志杰 黄晓芳 韦勇 付智慧
机构地区 西南科技大学计算机科学与技术学院 中国工程物理研究院
出处 《计算机应用研究》 CSCD 北大核心 2014年第2期579-582,共4页 Application Research of Computers
基金 四川省科技支撑计划项目(11ZS2010) 四川省教育厅科研资助项目(11ZB108 10ZD1116) 西南科技大学博士研究基金资助项目(10ZX7132 11ZX7126)
关键词 多源异构 告警聚合 时间阈值 动态更新 multi-source heterogeneous alert aggregation time threshold dynamic updates
分类号 TP393.08 [自动化与计算机技术—计算机应用技术]
  • 相关文献

参考文献2

二级参考文献17

  • 1穆成坡,黄厚宽,田盛丰,林友芳,秦远辉.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展,2005,42(10):1679-1685. 被引量:49
  • 2穆成坡,黄厚宽,田盛丰.入侵检测系统报警信息聚合与关联技术研究综述[J].计算机研究与发展,2006,43(1):1-8. 被引量:70
  • 3Mukherjee B, Heberlein L T, Levitt K N. Network intrusion detection [J]. IEEE Network, 1994, 8(3):26-41.
  • 4Julisch Klaus. Clustering intrusion detection alarms to support root cause analysis[J]. ACM Transactions on Information and System Security, 2003,6(4) :443-471.
  • 5Ning Peng, Cui Yun, Reeves Douglas, et al. Tools and techniques for analyzing intrusion alerts [ J ]. ACM Transactions on Information and System Security, 2004,7(2) :273-318.
  • 6Schnackenberg Dan, Holliday Harley, Smith Randall,et al. Cooperative intrusion traceback and response architecture(CITRA) [A]. In: Proceedings of the Second DPRPA Information Survivability Conference and Exposition [C]. Anaheim, CA, 2001, 1:56-68.
  • 7Debar H, Wespi A. Aggregation and correlation of intrusion-detection alerts [A]. In: Proceedings of the 4th Symposium on Recent Advance in Intrusion Detection(RAID), LNCS[C]. Berlin: Springer Verlag, 2001. 85-103.
  • 8Claffy K C. Internet traffic characterization [ D ]. San Diego: University of California, 1994.
  • 9Ryu B, Cheney D, Braun H W. Internet flow characterization: adaptive timeout strategy and statistical modeling[ A ]. In: Proceedings of Passive and Active Measurement Workshop[C]. Amsterdam, 2001. 94 - 105.
  • 10VALDES A,SKINNER K.Probabilistic alert Correlation[C]// Proceedings of 4th International Symposium on Recent Advance in Intrusion Detection(RAID) 2001,Lecture Notes in Computer Science 2212.Berlin:Springer-Verlag,54-68.

共引文献20

同被引文献35

引证文献7

二级引证文献15

计算机应用研究
2014年 第2期

相关作者

内容加载中请稍等...

相关机构

内容加载中请稍等...

相关主题

内容加载中请稍等...

浏览历史

内容加载中请稍等...
;
使用帮助 返回顶部