基于聚类和报警先决条件的网络入侵关联分析

摘要

入侵检测系统（IDS）是近年来迅速发展的系统安全技术，已经成为继防火墙之后的第二道网络安全防线。然而，传统的入侵检测系统有着两大弱点：1）它通常关注于低级警报和异常，发出对应的孤立报警，而无法发现其中的逻辑联系和攻击策略。2）传统的入侵检测系统会产生大量的误报，混杂于真实的报警之中。 针对这一问题，本文结合聚类算法和先决条件关联方法，提出一种新的网络入侵报警关联分析模型。该模型首先利用层次聚类算法，对原始报警数据进行预处理，进而利用报警的先决条件进行关联分析。同时使用DARPA 2000数据进行测试，证实提出的模型可对报警信息进行有效预处理。与仅用报警先决条件关联方法相比，成功排除了3个错误报警关联，有效提高了关联效果。