您的位置:360文档中心› 一种分层实现的分布式告警融合算法

一种分层实现的分布式告警融合算法

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

A a e e it i u e lr o r l to l o ih l y r d d srb t d a e tc r ea i n a g rt m
T ANG a g Lin
( un nT lcm C roai ,h n saH ' nC ia4 8 ) H 'a e o op rt nC agh , u a ,hn 0 2 e o n 1 0
1 引 言
随着 网络 入侵 不断 增多 ,人们 划。 网络 安 全 的 于
需 求 也 越 来 越 强 烈 。 入 侵 检 测 系 统 (D , I S
It s n D t t n S s m) 作 为 一 种 主 动 防 御 策 nr i e ci yt uo e o e
同时要对 相似 的报 警进 行融合 .从而减 少 告警 的数
d tci n el in y a d r d c h as o i v ae . ee t l c e c n e u e te f e p s t e r ts o i l i
Ke W o d : t so ee t n s se y r s i r in d tc i y tm;aetc r l t n lo i m n u o l r o r ai ;ag rt e o h
量 。提 高告警 的准 确率 。
2 告警融合算法的结构模型和实现流程
告警 融合 算法 分为 三个层 次 .分别 是 聚集 、合 并 、关联 .其 结构 模型 如 图 1 示。 所
从单 个 I S或 其 它安 全 部件 产 生 的 低 级 告警 . D
略 .可 以实时检 测 网络 中 的入侵和 攻击 ,并 采取 一 定 的响 应措 施 ,逐渐 受到 人们 的重 视和 应用 。
件之 问 的逻 辑 联系 ,将 中级告警 进 行关 联 .最终 生 成高 级告警 。
[ 收稿 1 ]20一 l2 3 期 06 l 3 一 [ 作者简介 ]唐亮 (9 9 ), ,湖 南长沙人,高级通信 程师 ,湖 南大学软什 学院软件 工程专 业硕 士研究生 ,研究 16一 男
告 警 。算 法 通 过 “ 集— — 合 并— — 关 腹 ”三 个 步 骤 .实现 了对 告 警 的 融合 。 聚
【 关键词】入侵检测系统;告警融合;算法 【 中图分类 ̄]P9, T 33 8 0 【 文献标识码】 A 【 文章编号】6198(07- 102-4 17—5 1 0 )0-050 2 -
形成 告警簇 :合 并模块 对 告警簇 进行 分 析 .合并 初 ห้องสมุดไป่ตู้
加 。从 各个 部件 上传 到管 理模 块 的告警 ,往 往不 是
最 终 的告警 .而 只 是简单 告警 。管 理模 块需 要埘 这 些 告警 进 行 处理 .埘 单 个告 警 的 真 实性 进 行 判断 ,
级告警 得到 一个 中级 告警 :关联 模块 根据 攻 击前 后
维普资讯
长 沙 通 信职 业 技 术学 院 学报 第 6卷 第 l 期 2 0 年 3月 07
J un lo h n s a T lc mmu iain o ra fC a g h ee o nc t s o
a d T c n lg c t n l C l g n e h oo y Vo ai a o l e o e
Vo . No 1 1 6 . M a -0o r2 7

种分层实现的分布式告警融合算法
唐 亮
( 南大学软件学院,湖 南长沙 40 8 ) 湖 1 2 0
【 要】 摘 在大规模高速网络环境下,分 式入侵检测系统中使用的告警融合算法把底层模块产生的多个简单告警融合
生成少量包含更 多信息 的告警 ,以减少冗余 告警 ,提高入侵检测的检测效率 ,降低 误报率 ,最终为管理 员提供简练精确 的
Ab t a tI ag - c l ih s e d n t o k e vr n n , e t or l t n ag rtm s d i r e s ae D sr ue n r so sr c :n lr e s ae hg - p e ew r n i me t n a r c r ai o i o a l e o l h u e n l g - c i t b td I t i n a l i u D tci n S se o rl tssmpe ae t p o u e yl w lv l o o e t i t o l xa et . r g r h u e h e se s h c e e t y tms c re ae i l r rd c d b o — e e mp n n s n o c mp e r Ou o i m s s tr t p .w i h o l s c l s l a t e a o ge a in o i o n or l t n o i lme t lr c r l t n T e ag r h e n rd c h d n a c e t mp o e t e e r c n r g t ,c a t n a d c r ai ,t mpe n e t o r ai . h o i m a e u e te r u d n y a r ,i r v h o l i e o a e o l t e l s
在 大规模 网络环 境下 .应 用入 侵检 测系 统检 测 攻击 遇 到 了新 的挑 战。这 主 要体现 在单位 时 问 内需
要 处理 的数据 大 大增 加 ,出现 的告警 数 目也 大大 增
经过 预处理 后 由聚集模 块 进行相 似度 计 算 .然 后将 初级 告 警分 组 .对 相 似度 比较 高 的告 警 进 行 聚集 .
相关文档
最新文档