基于多源安全信息的告警校验与聚合技术

针对网络入侵检测系统产生大量低质量告警的问题,提出了基于多源安全信息的告警校验与聚合技术,采用一阶谓词逻辑对告警校验进行了建模,并综合分析告警的时间、空间、攻击类型三维属性,对告警进行聚合。提出的方法能够实时、有效地滤除无关告警,消除冗余度,实现告警的精简。

基于主动D-S理论分类器的告警校验

为精简IDS产生的海量告警信息、降低IDS的误报率,提出一种基于主动D-S理论分类器的告警校验方法。该方法反映影响校验结果的各因素之间的概率关系,有效地解决了传统校验方法中存在的校验过于教条的问题,并能够对攻击行为进行学习来提高校验的准确性。使用MIT Lincoln Lab提供的DARPA 2000入侵检测攻击场景数据集LLDOS1.0对该方法进行性能测试,实验结果验证了该方法的有效性。