多探测器网络入侵检测系统中报警验证.pdfVIP

摘要 摘要 随着Internet的发展，计算机网络安全成为越来越受人们关注的 问题。为了增强计算机网络的安全性能，人们采用了多种安全技术， 包括加密、身份认证、访问控制等，随着入侵检测(Intrusion Detection Detection)技术的发展和成熟，入侵检测系统(Intrusion System)已经成为安全防卫体系中一个重要的环节。 人们对入侵检测技术的研究开始于上个世纪80年代初，由James Anderson所提交的“计算机安全威胁的监察(ComputerSecurity and Threat№nito“ngSurve“lance)”报告被认为是第一篇关于 入侵检测概念的文章。经过20多年的发展，入侵检测技术正逐渐走 向成熟，并在网络安全防御系统中变得越来越重要。但是在实际的应 用中，入侵检测系统往往会产生大量的报警(Alert)和误报(False Positive)，使得管理员无法有效分辨报警的真伪，从而降低了入侵 检测系统的有效性。因此，寻求一种有效的方法去除冗余报警并降低 误报率，是提高入侵检测系统效率的有效途径。 本文在深入细致地分析了现有入侵检测系统的各种体系结构、数 据源和检测技术，并充分了解和认识了它们各自相应的特点及优缺点 的基础上，对多探测器网络入侵检测环境中的报警管理进行了研究， 取得了以下工作成果： ·设计了一种多探测器网络入侵检测系统，并对该系统的体系结 构和功能进行了全面、完整的描述。 ·重点研究了基于多层模糊综合评判的报警验证算法，并完成了 报警验证模块的功能设计与实现。 ·介绍了报警聚集、报警融合和报警关联的概念和作用。 关键词：网络安全，入侵检测，报警验证，报警融合，报警关联 Abstract Withtlle of is netwOrl【secIlrity develOpmemIntemct，computcr mo坞柏dmorc00ncemcd cnhan∞the bc∞ming qucstion．To secllrity of have adoptcdm勰ysccIIrity 删ilityco唧utcr∞tw0咄pcople tochnoIogics enaypti∞，idcntity觚dacocss 蛔duding moognition， o叩tIol- have tlleIntn】sion Peoplebegun Dctccti蚰technolOgy陀se砌丘_0m lIIe of Threat beginning1980s．“computefS咖ity Monitoring柚d Surveillance”is firstafticIeaboutthe ofIIIt兀lsion regardcd鸱the concept Detccti∞．触盯20 IIltnlsion is Detectjon把chnOlogy y娜’deVelopmenk matu咒鞠d morcandmore mleinnet’Ⅳork be∞ming taI【ing