入侵检测与告警信息聚合技术研究.pdfVIP

下载本文档

11
0
约6.37万字
约 45页
2015-09-30 发布于安徽
举报
版权申诉

入侵检测与告警信息聚合技术研究.pdf

1、原创力文档（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

摘要摘要入侵检测已经成为网络及信息安全领域一个重要环节，而告警信息聚合技术也成为入侵检测系统中一个必不可少的组成部分。随着网络规模和传输速度的不断增大，海量的网络流量对入侵检测系统以及告警信息处理技术的实时性和数据处理能力提出了挑战。通常，在海量待处理数据中，异常数据很少，这小部分异常数据会被大量的正常数据淹没，影响入侵检测系统的检测性能。系统资源会被大量的正常数据占用，同时也造成了重复性或不完善告警数量的大量增加。大量的虚假及冗余告警不仅无法反映系统和网络的实际情况，还超出了管理员的处理能力，最终可能导致系统或网络的瘫痪。本文针对海量待检测数据中异常数据通常被大量正常数据淹没的问题，以及如何减少大量虚假及冗余告警问题，提出了两种解决方法。针对在海量的待处理数据中正常数据占绝对优势，占用系统大部分资源，影响检测性能的问题，提出了一种基于半监督学习策略的数据过滤方法，去除数据集中的部分正常数据（即冗余数据）。使正常数据与异常数据相对比较平衡，提高检测系统的实时性及减少误告警的效果。针对如何减少虚假及冗余告警的问题，提出了一种基于告警属性相似度的密度最大值的方法。消减海量告警信息中的虚假及冗余告警信息，减轻系统及管理员的工作负担，增强系统的实时性与可用性。关键词入侵检测告警聚合半监督学习属性相似度密度最大 I Abstract Abstract Intrusion detecction has become an important part of the network and information security. Alarm correlation has also become an essential component of the intrusion detection system. The vast amounts of network traffic challenges the capability of the intrusion detection system as the network size and transmission speed increasing. Usually, the abnormal data is only a small part in these massive data to be processed. The abnormal data will be overwhelmed by the normal data, and that will affect the performance of the intrusion detection system. A large number of normal data will occupy most of resources of the IDS and lead to a lot of false alarms. These all will bring troubles for administrators. Repetitive and inadequate alarms are increasing significantly as the intrusion becoming more complexity. The large number of false and repetitive alarms not only bring considerable burden to the administrator, but they also can’t reflect the real state of t