入侵檢測(cè)系統(tǒng)中分層報(bào)警處理模型的研究

摘要：針對(duì)入侵檢測(cè)系統(tǒng)中報(bào)警泛濫的問題，提出了一種分層的報(bào)警數(shù)據(jù)處理模型，在不同層次對(duì)報(bào)警數(shù)據(jù)進(jìn)行了過濾、歸約、融合和關(guān)聯(lián)。在過濾階段，建立了知識(shí)庫(kù)對(duì)誤警進(jìn)行了消除；在歸約階段，設(shè)計(jì)了歸約算法，可以實(shí)時(shí)消除報(bào)警中的重復(fù)信息；在融合階段，設(shè)計(jì)了一種基于聚類的融合算法，可以實(shí)時(shí)消除報(bào)警中的相似信息；在關(guān)聯(lián)階段，首先用頻繁片段算法對(duì)訓(xùn)練數(shù)據(jù)進(jìn)行了分析，發(fā)現(xiàn)其中的入侵模式，然后再以這些模式建立知識(shí)庫(kù)，為基于聚類的關(guān)聯(lián)算法提供攻擊的相似信息以發(fā)現(xiàn)入侵模式。通過上述處理，減少了報(bào)警中的錯(cuò)誤信息和無(wú)用信息，減輕了系統(tǒng)和管理員的負(fù)擔(dān)，同時(shí)可以發(fā)現(xiàn)入侵的攻擊模式，對(duì)入侵進(jìn)行預(yù)警。實(shí)驗(yàn)證明所提出的模型是有效的。 關(guān)鍵詞：入侵檢測(cè)；報(bào)警處理；聚類算法 中圖分類號(hào)：TP301 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：1001－3695(2009)08－2995－05