IDS洪流报警报警过滤报警聚合报警关联硕士论文

1、基于属性相似度的报警关联系统的研究与实现通信与信息系统，2011 ,硕士【摘要】IDS( In trusion Detection Systems)旨在检测网络入侵行为,当前的 IDS 普遍存在以下问题:1)洪流报警：普通的 IDS 每天几乎 能产生数百甚至上千的报警，报警中的大部分都是误报警(falsenegative) 和重复报警；2)低级报警:大部分基于规则的 IDS 在工作的 过程中，只要检测到满足某个特征的数据包便会产生报警，通过这些低级独立的报警信息很难关联和分析出攻击者的意图；3)报警独立:IDS 只能针对不同的攻击产生相互独立的报警，不能报告诸如 DDO 別蠕虫病毒等大范围的攻

2、击。本文针对洪流报警和低级报警问 题进行了如下的研究:(1)对现有报警相似度计算方法进行了研究和 对比分析,确定了 IP地址,端口和报警类别相似度的计算方法，并对 时间相似度算法进行了重点研究。通过实验分析了报警之间时间相似 度的变化趋势及数学模型，给出了本文采用的时间相似度算法和参数 的取值。这些相似度算法构成了报警属性相似度综合算法的基础模 块。(2)设计了基于属性相似度的报警信息聚合关联系统，针对 IDS 存 在的不同问题，采用不同的模块予以处理，具体包括:采用报警过滤器 来过滤重复报警；采用聚合器来关联低级别的 更多还原E!【Abstract IDS(Intrusion Detecti

3、on Systems) aims at detectingnetwork intrusionbehaviors. For the present, the IDS have基于属性相似度的报警关联系统的研究与实现the followi ng disadva ntages:(1)Flood Alert: An ordinaryIDS almost produces hundreds of alerts per day, and most of themare false-n egative and repetitive alerts. (2)Primitive Alert: mostrule-b

4、ased IDS will produce alert as long as certa in packets was detected.With these primitive and in dividualalertinformation,it is hard to correlate and analyse the attackers intention. (3) Indepe.更多还原 C3【关键词】IDS;洪流报警；报警过滤；报警聚合；报警关联;【Key words IDS;Flood-Alerts ; Alert-Filter ;Alert-aggregati on; Alert-

5、correlati on ;摘要 3-4Abstract 4第一章绪论 7-131.1 研究背景 7-81.2 国内外 IDS 研究现状 8-101.2.1IDS 的发展 8-91.2.2 IDS 研究现状 9-101.3 本文的研究内容及组织结构10-131.3.1 本文研究内容和意义10-111.3.2 本文组织结构 11-13第一章 相关冃景知识13-272.1 入侵检测技术13-182.2数据挖掘基础18-222.3 数据挖掘在入侵检测系统当中的应用 22-242.4 常用的报警关联方法 24-252.5 本章小结 25-27第三章 报警属性相似度研究 27-413.1 报警信息的格式化 27-313.1.1 报警属性的选取 29-303.1.2 报警之间的关系 30-313.1.3 聚合关联中相关术语定义 313.2 报警相似度计算 31-353.2.1 全局相似度的计算 31-323.2.2 IP 地址相似度的计算 32-333.2.3 端口相似度的计算 33-343.2.4 报警类别相似度的计算 343.2.5 报警时间相似度的计算 34-353.3 时间相似度的研究 35-403.3.1 研究现状与问题 35-363.3.2 参数选取的