入侵檢測及告警分析研究.pdf

1、論文主要針對網(wǎng)絡(luò)入侵檢測中的告警分析問題,完成了網(wǎng)絡(luò)入侵檢測告警分析中心的設(shè)計和原型實現(xiàn).該文集中討論了告警分析中的數(shù)據(jù)融合、相關(guān)性分析等問題.根據(jù)不同設(shè)備或應(yīng)用數(shù)據(jù)源構(gòu)造不同的數(shù)據(jù)驅(qū)動器的設(shè)計構(gòu)想,提出了分層設(shè)計的模型,獨立了面向設(shè)備和應(yīng)用的數(shù)據(jù)源,設(shè)計并實現(xiàn)了基于數(shù)據(jù)庫的數(shù)據(jù)轉(zhuǎn)換通用算法,在一定程度上解決了相關(guān)記錄的數(shù)據(jù)融合問題;同時,通過在告警分析中結(jié)合主機信息進行匹配分析的方式,完成了主機過濾的匹配算法,減少了潛在的誤報警;在相

2、關(guān)性分析上,通過構(gòu)造攻擊序列的設(shè)計思路,設(shè)計并實現(xiàn)了基于告警特征的相關(guān)性分析檢測算法及相應(yīng)的改進算法——L-F特征預(yù)處理的特征相關(guān)性分析檢測算法.相對于同類的研究,我們認為,該文提出的設(shè)計設(shè)想緊貼最新的入侵檢測告警分析的發(fā)展新動向;實現(xiàn)的一些算法雖然是以網(wǎng)絡(luò)入侵檢測系統(tǒng)為構(gòu)建平臺,但在算法思想的通用性上卻并不局限于某一具體的入侵檢測系統(tǒng),而是可應(yīng)用于所有基于特征規(guī)則的入侵檢測系統(tǒng).同時,所實現(xiàn)的系統(tǒng)具有跨操作系統(tǒng)平臺的特性.無論對于入侵