基于屬性模糊相似度的關聯(lián)分析.pdf

1、任何網(wǎng)絡信息系統(tǒng),均易遭受各種網(wǎng)絡安全風險的威脅。攻擊者有能力攻破許多現(xiàn)已開發(fā)的網(wǎng)絡安全防護技術,亦可能攻破任何將要開發(fā)的新技術。在這種環(huán)境下,快速的入侵檢測和恢復能力對網(wǎng)絡安全至關重要。
　　 對分布式入侵檢測而言,多個IDS的協(xié)同配置在增強網(wǎng)絡系統(tǒng)安全的同時,會產(chǎn)生大量的重復報警或警報冗余。為有效消除警報冗余,改善入侵檢測的效果和性能,本文提出了一種基于特征屬性模糊相似度的入侵警報聚合算法。該算法基于模糊邏輯,通過綜合分析告

2、警的攻擊類型特征,時間特征,空間特征三維屬性,分別定義具體的隸屬函數(shù),按照攻擊類型和時間,空間特征屬性相似度對入侵警報進行聚合,實時處理事件并進行冗余消除。同時,引進置信度的概念,根據(jù)IDS分布環(huán)境的差異,選擇最優(yōu)化的置信度,使報警信息融合盡量接近實際情況,充分發(fā)揮信息融合的優(yōu)勢。
　　 本文結合當今入侵檢測系統(tǒng)告警關聯(lián)現(xiàn)狀,在主要研究Valde提出的利用告警信息特征的相似性的基礎上,在告警信息關聯(lián)上提出一些自己的見解,主要工作

3、體現(xiàn)在如下方面:
　　 1.引入置信度的概念,并作為告警關聯(lián)的一個獨立屬性加載到整個算法中,同時直接優(yōu)化告警關聯(lián)的結果。
　　 2.對入侵檢測系統(tǒng)的報警信息進行標準格式化和集中收集,存儲。
　　 3.研究,選擇,并實現(xiàn)基于屬性相似度的關聯(lián)算法,對采集到的數(shù)據(jù)進行關聯(lián)分析,挖掘出報警信息間的關系和聯(lián)系,通過關聯(lián),合并,聚類,形成高質(zhì)量的告警信息,降低報警信息間的冗余度。
　　 4.利用流量產(chǎn)生工具對算法進行