入侵檢測警報綜合分析方法的研究與實現(xiàn).pdf

1、入侵檢測系統(tǒng)(Intrusion Detection System,IDS)對網絡傳輸進行即時監(jiān)視,并對其中可疑傳輸發(fā)出警報。然而,在計算機網絡攻擊手段的日益復雜、大規(guī)模協(xié)同攻擊層出不窮的形勢下,IDS的局限性日益凸顯:警報數量巨大,漏報誤報率較高,警報層次較低,且彼此孤立。因此,現(xiàn)階段IDS較難為安全分析人員直接有效的利用,對IDS產生的警報數據做進一步關聯(lián)分析顯得越來越重要?；谝蚬P系的警報關聯(lián)方法是其中最具代表性的方法之一。但是

2、很多情況下,這種方法對于連續(xù)的協(xié)同攻擊,難以產生完整的攻擊場景圖,而是由于種種原因被分散為若干個子場景圖,此外,常見因果關聯(lián)方法無法及時處理較大規(guī)模警報,因此可用性較差,無法實際部署應用。
　　針對上述局限性,本文提出并實現(xiàn)一種采用攻擊策略圖的警報綜合分析方法。首先,通過分析大規(guī)模協(xié)同攻擊及入侵檢測警報數據的特點,建立一種攻擊策略圖模型作為先驗知識庫;其次,基于上述知識庫提出并實現(xiàn)多種入侵檢測警報分析方法,主要方法涉及完整攻擊場景