基于地址关联图的分布式IDS报警关联算法
当前入侵检测系统产生的报警洪流往往使管理员无法处理,大大降低了IDS系统的有效性. 对原始报警事件的关联分析可以从大量报警中提取出有效的攻击事件;分析攻击者的真正意图,对大规模分布式入侵检测系统有重要意义. 为此综合分析了现有报警关联算法的优点和不足,提出了一种基于地址关联图(ACG)的报警关联算法. 该算法用地址关联图模型对分布式IDS原始报警事件进行分析,以得到不同攻击之间的关联和发生步骤,得到攻击者的攻击路径,进而分析攻击者的意图. 该算法无需提前制定关联知识库或提前训练关联模型,因此易于实现.
入侵检测系统 地址关联图 报警事件 攻击事件 关联算法
段海新 于雪丽 王兰佳
清华大学,信息网络工程研究中心,北京,100084
国内会议
辽宁大连
中文
126-131
2005-11-01(万方平台首次上网日期,不代表论文的发表时间)