一个用于IDS告警分析的验证-聚类-关联模型
多步骤攻击是当前占据主流的攻击模式,但当前的入侵检测系统在检测这种攻击时存在告警冗余、告警孤立等问题.为解决这些问题,提出了一个验证-聚类-关联告警分析模型.该模型将验证、聚类、关联这3个告警分析环节结合在一起,逐层地对告警信息进行分析,通过验证过滤掉原始告警信息中的误报及无关信息,验证后的有效告警信息通过聚类生成无冗余的单步告警,再通过关联生成能描述攻击者意图的全局告警.对相关的算法与规则进行了描述,并通过几个实际的攻击场景验证了该模型的有效性.
多步骤攻击、告警分析、单步告警、全局告警
44
TP391(计算技术、计算机技术)
国家自然科学基金90104025
2008-06-26(万方平台首次上网日期,不代表论文的发表时间)
共5页
276-280
