警报聚合分析与数据集测试的应用

入侵检测技术在网络安全防卫体系中变得越来越重要.在实际应用中,为了提高检测率通常采用基于多点的分布式数据采集或基于多引擎的协作式入侵检测,但是伴随而来的是警报数量和误报数量的海量增加,使管理员无法分辨警报的真伪并有效地管理入侵检测系统,从而降低了入侵检测系统的有效性和可用性.提出了一种基于密度的抗噪声时间聚类算法,将警报聚合和关联分析方法运用于分布式多引擎入侵检测场合来解决上述问题.实验采用数据集测试的方法对算法和原型系统进行了测试,并和相关研究工作进行了比较和分析.实验结果表明,系统对于分布式扫描有良好的检测效果,并在检测的实时性能上表现出优势.

基于特征属性模糊相似度的入侵警报聚合算法

分布式入侵检测系统的一个显著缺陷是会产生大量的重复警报。为有效消除警报冗余,改善入侵检测的效果和性能,本文提出了一种基于特征属性模糊相似度的入侵警报聚合算法。该算法基于模糊逻辑,综合分析警报的攻击类型特征、时间特征、空间特征三维属性,通过分别定义具体的隶属函数,按照攻击类型和时空特征属性模糊相似度对入侵警报进行聚合,比传统的精确匹配法和概率统计方法更适合于处理入侵警报信息的相似性。