IDS洪流报警报警过滤报警聚合报警关联硕士论文.doc

基于属性相似度的报警关联系统的研究与实现通信与信息系统,2011,硕士【摘要】IDS(IntrusionDetectionSystems)旨在检测网络入侵行为,当前的IDS普遍存在以下问题:1)洪流报警:普通的IDS每天几乎能产生数百甚至上千的报警,报警中的大部分都是误报警(false-negative)和重复报警;2)低级报警:大部分基于规则的IDS在工作的过程中,只要检测到满足某个特征的数据包便会产生报警,通过这些低级独立的报警信息很难关联和分析出攻击者的意图;3)报警独立:IDS只能针对不同的攻击产生相互独立的报警,不能报告诸如DDOS和蠕虫病毒等大范围的攻击。本文针对洪流报警和低级报警问题进行了如下的研究:(1)对现有报警相似度计算方法进行了研究和对比分析,确定了IP地址,端口和报警类别相似度的计算方法,并对时间相似度算法进行了重点研究。通过实验分析了报警之间时间相似度的变化趋势及数学模型,给出了本文采用的时间相似度算法和参数的取值。这些相似度算法构成了报警属性相似度综合算法的基础模块。(2)设计了基于属性相似度的报警信息聚合关联系统,针对IDS存在的不同问题,采用不同的模块予以处理,具体包括:采用报警过滤器来过滤重复报警;采用聚合器来关联低级别的... 更多还原【Abstract】IDS(IntrusionDetectionSystems),theIDShavethefollowingdisadvantages:(1)FloodAlert:AnordinaryIDSalmostproduceshundredsofalertsperday,andmostofthemarefalse-negativeandrepetitivealerts.(2)PrimitiveAlert:mostrule-,itishardtocorrelateandanalysetheattacker’sintention.(3)Indepe... 更多还原【关键词】IDS;洪流报警;报警过滤;报警聚合;报警关联;【Keywords】IDS;Flood-Alerts;Alert-Filter;Alert-aggregation;Alert-correlation;摘要3-4Abstract4第一章绪论7--------13第二章相关背景知识13------27第三章报警属性相似度研究27-