分布式入侵检测系统中的报警融合

摘要

随着Intemet的发展，计算机网络安全成为越来越受人们关注的问题。为了增强计算机网络的安全性能，人们采用了多种安全技术，包括加密、身份认证、访问控制等，随着入侵检测技术的发展和成熟，入侵检测系统(Intrusion Detection System)已经成为安全防卫体系中一个重要的环节。 在实际的应用中，入侵检测系统往往会产生大量的误报警(False Positive Alerts)、漏报警(False Negative Alerts)和重复报警(Duplicate Alerts)，使得管理员无法有效分辨报警的真伪，从而降低了入侵检测系统的有效性。因此，寻求一种有效的方法去除冗余报警并降低误报率和漏报率，是提高入侵检测系统效率的有效途径。 本文在深入细致地分析了现有入侵检测系统的各种体系结构、数据源和检测技术，并充分了解和认识了它们各自相应的特点及优缺点的基础上，对分布式入侵检测环境中的报警管理进行了研究，主要包括以下内容： 1)介绍了一个分布式入侵检测系统，并对该系统的体系结构和功能进行了全面、完整的描述。 2)重点研究了报警融合技术，设计并实现了报警融合模型，该模型包括报警聚合和报警关联两个模块。 3)利用具有自适应特性的算法进行报警聚合，可以有效地聚合重复报警，减轻了网络负载。 4)利用基于模糊综合评判(Fuzzy Comprehensive Evaluation)的算法进行报警关联，不但可以将来自于不同IDS的报警关联在一起，而且可以将入侵不同阶段的报警关联在一起，产生代表攻击过程的报警线程。算法在减少误报的同时，为下面的在线风险评估和响应决策提供多种综合性参数，具有较好的实时性。 5)介绍了有监督的报警确信度学习算法和报警验证的概念与作用。本文首先概述了入侵检测系统的模型结构、一般特性以及不同分类，然后对研究重点——分布式入侵检测系统中的报警融合技术进行了详细描述，并着重讨论了其中的两个核心模块：报警聚合和报警关联，最后是系统的实验结果。