基于条件信息熵的IP网络异常行为预测及描述方法研究

随着IP网络入侵技术不断更新,传统的入侵检测系统(IDS:Intrusion Detection System)面临着巨大的挑战。文中提出了基于条件信息熵(CIE:Conditional Information Entropy)的IP网络异常行为预测及描述方法,以通过事前预测来减小传统IDS事后检测缺陷。该方法包括三个部分:网络性能参数处理、网络告警信息处理和基于CIE的量化过程。核心节根据聚类算法将归一化的网络性能参数等级化;同时,利用警报关联将IDS警报聚合为超警报,再根据聚类算法将超警报等级化;最后采用CIE公式来量化这些等级值之间的关系。根据理论推导可以得到如下结论:CIE越小,入侵发生的可能性越大。将CIE值与门限值作比较,低于门限则预警,并启动系统容侵机制(ITM:Intrusion Tolerance Mechanism)。