| 【论文摘要】 | 多数基于网络的入侵检测系统(NIDS)普遍存在的一个不足就是经常会产生大量相似的或重复的警报数据,可称之为警报洪流。NIDS应该极力避免警报洪流的出现,因为出现警报洪流时,NIDS检测到的真正的入侵行为所产生的警报就会被大量重复的警报所淹没,使得安全管理员很难发现真正的入侵警报。
数据融合是一种多层次、多方面的处理过程,这个过程是对多源数据进行检测、联合、相关、估计和组合以达到精确的状态估计和身份估计,以及完整、及时的态势评估和威胁估计。文章将数据融合技术应用到分布式入侵检测系统(DIDS)中,提出了将过滤与合成相结合的基于规则的警报数据融合模型。提出的模型易于实现,可用于处理漏报和大量重复警报的问题。设计并实现了模型中的规范化、过滤、合成、统计分析算法。实现的系统中采用了入侵检测信息交换格式IDMEF提供的数据格式,提高了开放资源和研究系统之间的互操作性。
设计并实现的基于过滤规则的警报过滤算法的过滤规则由统计分析自动产生。产生的过滤规则中加入了误报的细节分布特征,使得过滤更加谨慎,尽可能避免了滤除正确的警报。设计并实现的警报合成算法采用动态的合成时间窗口和动态的最大合成数窗口相结合... |
