作　　者： ; ; ;

机构地区： 上海应用技术学院计算机科学与信息工程学院计算机科学与信息工程系

出　　处： 《计算机应用研究》 2009年第8期2995-2999,共5页

摘　　要： 针对入侵检测系统中报警泛滥的问题,提出了一种分层的报警数据处理模型,在不同层次对报警数据进行了过滤、归约、融合和关联。在过滤阶段,建立了知识库对误警进行了消除;在归约阶段,设计了归约算法,可以实时消除报警中的重复信息;在融合阶段,设计了一种基于聚类的融合算法,可以实时消除报警中的相似信息;在关联阶段,首先用频繁片段算法对训练数据进行了分析,发现其中的入侵模式,然后再以这些模式建立知识库,为基于聚类的关联算法提供攻击的相似信息以发现入侵模式。通过上述处理,减少了报警中的错误信息和无用信息,减轻了系统和管理员的负担,同时可以发现入侵的攻击模式,对入侵进行预警。实验证明所提出的模型是有效的。 In view of the alarm flooding problem, this paper studied a hierarchical alarm processing model to filter, reduce, fuse and correlate alarm data. In filtering, eliminated false alarms with repository. In reduction, designed a reduction algorithm to remove the duplicate alarms in real time. In fusion, proposed a clustering-based fusion algorithm to banish similar alarms in real time. In correlation, implemented the frequent episodes algorithm on training data to find the intrusion patterns and constructed repository which provided similarity to the clustering-based correlation algorithm. Through the above processing, eliminated the false and invalid alarms, which eased the networks system and administrator＇ s burden. Meanwhile, found the intrusion patterns and reported the alarm prediction. Experimental results show the model is effective.

关 键 词： 入侵检测 报警处理 聚类算法

领　　域： [自动化与计算机技术] [自动化与计算机技术]