您的位置:360文档中心› 一种分布式告警融合模型的分析

一种分布式告警融合模型的分析

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

关键词 : 入侵检 测 ; 警融合 ; 告 合成算法
An An y s f al si o Di t i u ed s r b t Al r a m I t r t o Mo l n eg a i n de
WA ( J g N} i n (gga M rm n e i , S o fIon#n Tc og , Se h/ O l5 o/) Sa h/ a # eUNm ̄ c o o f I o e nly hn a 2 O a ,ha ,n i y h l n #a h o g h A s atTep bm o h e n br o s iro fl lm suiiu i ms ir i ee i yt ( S, en dsm yt o bt c:h r l f u u e f il r aea rsi buo n ot n uo dt tn ss mI )w e o ess m t r oe g m s ma s a q t s t sn co e D e e
警量使 得管 理 员忙于处 理这 些误 报和重 复告 警 ,从而 有可 能忽略 真正 重要 的有价值 的告 警 。
及待处理的告警种类繁多,系统效率低下的问题,为后面 ■ 的 关联分析做好了 充分的准备。 ●
主 要面 临 的 问题 如 下 : 1大 量 误警 和漏 警 问 题 。各 () I S设备 本身性 能有 差异 ,任何 一种检 测技 术都 不可避 免 D 地会 出现 误 警 和漏 警 。() 据 洪流 问题 。不 同 入侵 检 测 2数
图 1 示。 所
告 定 警 量 流
系统的性 能下 降 。() 能性 问题 。网络 技术 在不 断刷 新 , 3智
网络 中出现 的攻 击手 段也 在不 断地升 级 ,绝大 部分 的攻击 已经不再 是简单 孤立 的攻 击行 为 ,而是 以一种 复合 的 、关 联 的和分布 式 的形式 出现 ,需要 使用 智能 工具对 这 些攻击
rsle hs rb m. ag r h s ei e t meg t ee i lr l t t rd c te xsig u e u es f lr .t sue h aet e p eov t i ol An loi m i s d o p e t d gn r e h s s a ae s o eu e h e i n hg n mb r o aa ms I mi r t a sr te lr k e aa mn i i n ma e od e d f r h rs w r lr ig n me a d t k g o ra y o te et o k. Ke wo d: tuin ee to , lr meg i megn ag r h y r i rs dt cin aet r en n o g, r i g loi m t
器检测 到的 同一事 件会 生成 多个重 复 的告警 ,或 者在很 短 时间 内生成大 量相 同的 告警 。这 些重复 冗余 告警 ,使得 管 理 员需 要处理 的告警 量 可能会 成数 量级 的增 长。 同时这 些 大 量的重 复告警 信 息 ,还 会导 致一 些真正 有威 胁 有价值 的理 员发现 ,造 成检 测
图 1系统 框 架 图
下 面对 各模 块 的功 能做 简要 的介 绍 : () 警 预处 理 模 块 : 1告 预处 理 的 过 程实 际 上 是对 报警
2设计思想和模型
2 1模型架构 .
简单 来讲 ,告警融 合 的 目的 ,就 是要 获得 更高 品质的 信 息 ,即 更 有价 值 的 告警 。 对于 I DS而言 ,插 入 了告 警
融合机 制之 后 ,要能 获得 更高 品质 的告警 。本 文的告 警融
合模 块主 要包 括告警 与处理 模 块 、告 警初 步合 成模块 、告 警聚 集模 块和 告警关 联模 块 。告警融 合模 块的 框架结 构如
进行 深层次 的关联 、分 析 、识别 。

因此 ,需 要 引入有 效的 告警融 合技 术针 对产 生 的告警
进行 分析 ,去除 冗余 告警 ,处理 误警 和漏警 ,同时还 要针 对 已有的警 报 ,进行 深层次 的关 联和 分析 ,识别 复合 攻击 ,
1 2 流

再现 入侵者 的攻 击步骤 ,那 么就 有可 能预 测攻击 者真 实 的 攻击 意图 ,从而 提高入 侵检 测 系统的 总体性 能 ,更好 地实 现入侵 检测 和入侵 防御 。 目前 也 已经提 出 了一 些告 警融 合 的算法 ,但 是仍 然存

种分布式告警融合模型的分析
王 静
( 上海 海事 大 学 信 息工程 学院 ,上海 20 3 ) 0 15
需要应 用告 警融合技 术对告 警信 息进行处理 。在 已有的算 法基础 摘 要 : 为解决 l D s产生大量相似 的或无用的告 警信息的问题 ,
上 设 计 了一 种 告 警 合成 算 法 。有 效地 减 少 了无 用 警报 的 数量 , 又保持 了警报处理 的及时性 ,为后期的 关联 工作做好 了准备 。
1引言
虽 然现 有的入 侵检 测 系统 性 能在不 断地 提高 ,但所 产 生 的告警量 仍然 相 当的 巨大 。在 这些告 警 中 ,除 了包 含正
确 的告警外 ,还 包括大 量误 报和 重复告 警 。如此 巨大 的告
在 有待 改进 的方 面。本 文设 计的 告警融 合模 块采 用的告警 合 成算法 借 鉴了法 国 M I RAD0R项 目的关 联模 型 、陈 志 文 等人提 出的警报 合成 算法 和一种 基于 告警 类关联 的告警 融 合机制 的算 法思 想 。更有 效地解 决 了告警 洪流 问题 ,以
相关文档
最新文档