基于搜索树的告警高效聚类算法和Bayes分类器的设计和研究

如何从IDS等安全产品每天产生的海量告警和日志中挖掘出有价值的信息,帮助管理员找到那些真正具有威胁的攻击,然后采取措施,有效地保护系统安全,这是入侵检测系统急待解决的问题。本文利用搜索树可以减少搜索空间和覆盖向量的特点提出了基于搜索树的高效告警聚类算法;考虑到把新来的告警事件归类到先前通过聚类得到的类中,让其与其他的告警事件可以关联起来,提出了基于贝叶斯事件分类器的告警分类方法。最后使用KDDCup1999Data的数据进行了性能测试。实验测试结果表明,此算法和方法是快速有效的。在原型系统“多信息源智能化安全强审计系统”中的实际应用也展现了其良好的应用前景。