基于动态时间阈值的报警聚合方法研究

针对网络入侵检测中持续性攻击引发的多个报警事件时间间隔变化的问题,引入时间间隔变异系数描述报警的时间波动特征;通过将报警数据属性分为时间约束属性和相似度约束属性,提出了一种利用动态时间阈值约束的相似报警数据聚合方法。实验结果表明,这种方法能有效减少持续性攻击触发的冗余报警。

一种多源安全日志融合方法的研究

为了有效发现网络中隐藏的攻击事件,以多源日志为研究对象,提出改进加权信任度值D-S证据理论算法来融合日志。经过数据预处理和动态自适应时间间隔阈值算法聚合生成超级告警日志,将安全设备对不同告警事件的检测率作为证据,动态修正权值并融合。实验结果与传统D-S证据理论算法的比较结果表明,改进加权信任度值D-S证据理论算法能够更准确地检测到网络中的攻击事件。