基于屬性模糊相似度的關(guān)聯(lián)分析.pdf

1、任何網(wǎng)絡(luò)信息系統(tǒng),均易遭受各種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的威脅。攻擊者有能力攻破許多現(xiàn)已開發(fā)的網(wǎng)絡(luò)安全防護(hù)技術(shù),亦可能攻破任何將要開發(fā)的新技術(shù)。在這種環(huán)境下,快速的入侵檢測(cè)和恢復(fù)能力對(duì)網(wǎng)絡(luò)安全至關(guān)重要。
　　 對(duì)分布式入侵檢測(cè)而言,多個(gè)IDS的協(xié)同配置在增強(qiáng)網(wǎng)絡(luò)系統(tǒng)安全的同時(shí),會(huì)產(chǎn)生大量的重復(fù)報(bào)警或警報(bào)冗余。為有效消除警報(bào)冗余,改善入侵檢測(cè)的效果和性能,本文提出了一種基于特征屬性模糊相似度的入侵警報(bào)聚合算法。該算法基于模糊邏輯,通過綜合分析告

2、警的攻擊類型特征,時(shí)間特征,空間特征三維屬性,分別定義具體的隸屬函數(shù),按照攻擊類型和時(shí)間,空間特征屬性相似度對(duì)入侵警報(bào)進(jìn)行聚合,實(shí)時(shí)處理事件并進(jìn)行冗余消除。同時(shí),引進(jìn)置信度的概念,根據(jù)IDS分布環(huán)境的差異,選擇最優(yōu)化的置信度,使報(bào)警信息融合盡量接近實(shí)際情況,充分發(fā)揮信息融合的優(yōu)勢(shì)。
　　 本文結(jié)合當(dāng)今入侵檢測(cè)系統(tǒng)告警關(guān)聯(lián)現(xiàn)狀,在主要研究Valde提出的利用告警信息特征的相似性的基礎(chǔ)上,在告警信息關(guān)聯(lián)上提出一些自己的見解,主要工作

3、體現(xiàn)在如下方面:
　　 1.引入置信度的概念,并作為告警關(guān)聯(lián)的一個(gè)獨(dú)立屬性加載到整個(gè)算法中,同時(shí)直接優(yōu)化告警關(guān)聯(lián)的結(jié)果。
　　 2.對(duì)入侵檢測(cè)系統(tǒng)的報(bào)警信息進(jìn)行標(biāo)準(zhǔn)格式化和集中收集,存儲(chǔ)。
　　 3.研究,選擇,并實(shí)現(xiàn)基于屬性相似度的關(guān)聯(lián)算法,對(duì)采集到的數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,挖掘出報(bào)警信息間的關(guān)系和聯(lián)系,通過關(guān)聯(lián),合并,聚類,形成高質(zhì)量的告警信息,降低報(bào)警信息間的冗余度。
　　 4.利用流量產(chǎn)生工具對(duì)算法進(jìn)行