(计算机科学)分布式IDS报警聚合研究与实现.pdfVIP

计算 机科 学 知 分布式 报警聚合研究与实现 郭 帆 叶 继华 余 敏 江 西 师范 大 学计 算 机 信息 工 程 学院 南 昌 摘 要 如 何聚 合来 自不同 的 报誉 以减少重 复报誉 是分布 式 研 究的重 要问题 本 文综合 当前 研究现 状提 出 了一套 分布式 田 报 誉聚合 系统 设计方 案 该 方案主 要包括 设计一 种基 于代理 的分布 式田 报誉聚 合系统 体系结 构模 型提 出了基 于分 类和相似 度的 报誉聚 合算法 用于采 合重复 报誉采用基 于订 阅的通 信模式 方便不 同部件 之间的 通信 设计 基于 的报 牛信 息格式 用于统 一来 自不同 上报 的报誉 信息 实验 表明 该方案 的 实现可 有效减 少 重复报 誉 关健 词 报 誉聚 合 一 似 度的计 算但 是该算 法仅考 虑完全 匹配 及属性 值要么 只为 引言 丁瞥 二 犷佗 艾丁刃二兰丫 二 犷二 二厂 二 了二 二二二 二二 要么 只为 。同时也 没有 考虑 时间属 性 因 此该算 法很 不完 随 着网络 的普及 人侵 监测系 统 块 善 穆成 坡提 出一种基 于模 糊综 合评判 的方 法该 方法 实际 作为 网络安全 系统 中的 一个重 要组 成部 分受 到越 基 于文献 〔〕提 出的 框架 但是 在最 终判 决时 引人 了模糊 矩 来 越多人 的关 注 田 被认 为是 防火墙 之后 的第 二道 闸门 阵 并且 把从事 件中提 取的特 征也作 为待 比较的 属性之一实 希 望在无 法完 全阻止 人侵时 能尽快 实时 检测 出人侵 以便及 验 结果较 好但 是该实 验模型 中计算 的属性 较少 仅包括 报替 时 做出 响应 传统的 集中式 田 根 据数 据来源 的不同 分为基 时 间和 源 阁 提出 了报 普属 性分 类的 概念 将所 于 主机 和基于 网络的 如著 名的免 费软 件 等 但是 有 属性值 分为 四个大 类使 用相 似度计 算子 来进行 属性 相似 随 着网 络攻击 手段向 分布 式和协 同方 向发 展它 们难 以发现 度 计算 但是没 有对每 类具体 属性 的计算 方法深 人讨论 这 些复 杂的分 布式协 同攻击 分 布式 刃 可 以发 现整个 网络 我们 在综合 文献 〔」的属性 分类 和聚合 算法 框架 基础 范 围内 的人侵 因此成 为 目前 的研 究热点 上 按照 攻击意 图对待 聚台 的报普进 行分 类提 出了一种 基于 一 次分布 式协作 攻击可 能会引 起多个 采集 单元同 时产生 分 类和相 似度 的报警 聚合算’法算 法框 架如图 所示 报 警 重 复报警 如何 从这 些不 同单元 上报 的报 警中识 别出 分 布式 协作攻 击是 发展 的明显 趋势 当前 主要有 两种技 术 报赞 聚合与 报警 关联 报 警聚合 用 于消除 和减 少重 复报 警 报普 关联可 降低误 报和漏 报率 以及发 现高层 攻击策 略报 替 聚合 可作为 报警关 联的预 处理部 件存 在不 同的采 集单元 对 于同 一攻击 事件可 能会 产生几 十上 百条 相同 的报警报警 聚 合的 目的是 将这些 报警 重新 聚合成 为一 条报 替使得 管理 员 可以 专注于 发现真 实的攻 击意 图 本 文从报 替聚合 算法 体系 结构 通信模 式设 计和报 替 信息 格式等 方面人 手 综 合比 较当 前的 研究现 状提 出 了 一 套分 布式 〕 报警 聚合 系统的 设计和 实现方 案 报苦 聚 合 算法 报 警聚合 算法依 赖于 报警属 性的 相似 度属 于同一 攻击 一 一 一 的报 比