入侵检测系统中告警融合机制的研究

摘要

近年来，随着互联网的高速发展，网络安全事件数量激增。入侵检测系统在面对海量事件时通常会产生大量告警，这些告警中包含了许多误报和冗余告警，这都严重削弱了入侵检测系统在实际应用中所发挥的作用。因此，对入侵检测系统所产生告警进行融合处理就非常重要，这将能够提高入侵检测系统发现网络安全事件的准确率。 本文在首先介绍了入侵检测的基本概念之后，对当前流行的分布式入侵检测系统结构以及实现进行了归纳和整理。同时，提出了基于协议分析的原始数据过滤机制、基于专家系统的入侵检测告警过滤机制和基于告警类关联的初级告警融合机制。 基于协议分析的原始数据过滤机制通过采用协议分析来过滤原始数据，减少误告警，而且该机制能够应用于IPv4和IPv6两种网络。 基于专家系统的入侵检测告警过滤机制使用专家系统，利用知识库的知识，通过过滤引擎，对原始告警进行过滤，可以减少误告警，为进一步的告警融合做好了准备。 基于告警类关联的初级告警融合机制在基于协议分析的原始数据过滤和基于专家系统的告警过滤基础上，利用告警的分类，通过告警类关联技术，使用关联引擎，对告警进行融合，可以减少冗余告警。该机制可以在一定程度上降低误报率，并从海量告警中识别出部分复杂的攻击行为。 以上三种告警处理机制是一个有机的整体，经过这三个步骤处理后，入侵检测系统中的误告警和冗余告警会有一定程度的减少，同时通过融合，还能发现部分告警之间的关联关系。

目录

文摘

英文文摘

声明

第一章概述

1.1入侵检测系统基本概念

1.1.1入侵检测系统简介

1.1.2分布式入侵检测系统简介

1.2告警融合技术国内外发展现状

1.3本论文研究内容结构

第二章基于协议分析的原始数据过滤机制

2.1模式匹配方法的缺陷

2.2互联网相关协议

2.3 IPv6协议与IPv4协议的比较

2.4协议分析方法

2.4.1 IPv4协议分析

2.4.2 IPv6协议分析

2.5基于协议分析的入侵检测原始数据过滤模型

2.6基于协议分析的入侵检测原始数据过滤系统的实现问题

2.7总结

第三章基于专家系统的入侵检测告警过滤机制

3.1基于专家系统的入侵检测告警过滤机制的设计

3.1.1告警过滤在整个IDS中的位置

3.1.2告警过滤系统模型

3.2告警过滤流程

3.2.1告警过滤总流程

3.2.2各模块流程

3.3总结

第四章基于告警类关联的告警融合机制

4.1告警类定义

4.2告警融合算法

4.2.1告警分类

4.2.2告警关联

4.2.3基本关联实例分析

4.2.4 IP欺骗实例分析

4.2.5分布式拒绝服务攻击实例分析

4.3态势评估

4.3.1 Dempster-Shafer证据理论

4.3.2态势评估实例分析

4.4结论

第五章展望

参考文献

附录 缩写说明

致谢

攻读学位期间发表的学术论文目录