入侵檢測(cè)及告警信息聚合技術(shù)研究.pdf

1、入侵檢測(cè)已經(jīng)成為網(wǎng)絡(luò)及信息安全領(lǐng)域一個(gè)重要環(huán)節(jié)，而告警信息聚合技術(shù)也成為入侵檢測(cè)系統(tǒng)中一個(gè)必不可少的組成部分。隨著網(wǎng)絡(luò)規(guī)模和傳輸速度的不斷增大，海量的網(wǎng)絡(luò)流量對(duì)入侵檢測(cè)系統(tǒng)以及告警信息處理技術(shù)的實(shí)時(shí)性和數(shù)據(jù)處理能力提出了挑戰(zhàn)。通常，在海量待處理數(shù)據(jù)中，異常數(shù)據(jù)很少，這小部分異常數(shù)據(jù)會(huì)被大量的正常數(shù)據(jù)淹沒，影響入侵檢測(cè)系統(tǒng)的檢測(cè)性能。系統(tǒng)資源會(huì)被大量的正常數(shù)據(jù)占用，同時(shí)也造成了重復(fù)性或不完善告警數(shù)量的大量增加。大量的虛假及冗余告警不僅無法

2、反映系統(tǒng)和網(wǎng)絡(luò)的實(shí)際情況，還超出了管理員的處理能力，最終可能導(dǎo)致系統(tǒng)或網(wǎng)絡(luò)的癱瘓。
　　 本文針對(duì)海量待檢測(cè)數(shù)據(jù)中異常數(shù)據(jù)通常被大量正常數(shù)據(jù)淹沒的問題，以及如何減少大量虛假及冗余告警問題，提出了兩種解決方法。
　　 針對(duì)在海量的待處理數(shù)據(jù)中正常數(shù)據(jù)占絕對(duì)優(yōu)勢(shì)，占用系統(tǒng)大部分資源，影響檢測(cè)性能的問題，提出了一種基于半監(jiān)督學(xué)習(xí)策略的數(shù)據(jù)過濾方法，去除數(shù)據(jù)集中的部分正常數(shù)據(jù)（即冗余數(shù)據(jù)）。使正常數(shù)據(jù)與異常數(shù)據(jù)相對(duì)比較平衡，提高