基于警报事件强度的异常入侵检测技术.pdfVIP

基于警报事件强度的异常入侵检测技术 付庆利 (北京理工大学计算机科学技术学院，北京100081) E-mail：fuql@bit．edu．cn 摘要在太规模网络环境中．入使检州系统得到的警报数据本身具有一定的规律。基于此，文章提出了一种基于警报 事件强度的异常检测方法，采用基于警报攻击强度的统计检测方法来判断网络中出现大规模攻击行为的异常情况。实验 数据分析表明．该方法对于太规模八侵行为具有很好的检测鼓果。 美键词 网络安垒入侵检酬 警报攻击强度统计方法 IntrusionDetection BasedOlllAlertData Anomaly Technology Fu Qingli of Scienceand Instituteof (School Technology，BeijingTechnology，Beijing100081) Computer detectionmethodbasedonalert dataisincertain in networkenvironment．An Abstract：Alert regulation anomaly large basedattack ofalertdataisusedfor datais inthis statisticdetectionmethod On intensity distinguish proposed paper．A the scaleattackactionsinnetwork．The showsthatthismethod detect scale large simpleexperiment c口effectivelylarge atracks． method detection，alertdata，attackintensity，statistic Keywords：rusion l引言 耳前的商用人侵检测系统，很多都是基于规则的误用检测 系统。这些系统在不经过反复调整配置规则的情况下．在实际 应用环境中将产生大量警报数据。其主要原因之一，就是检测 系统存在着很高的误报率。查阅相关产品和系统的资料，并通 过在实验室的模拟实验和实际产品的应用，我们发现．在真实 围I 基于警报数据的异常检铡的整体结构示意固 的网络测试环境中．Snort、NFR和NetCop—NIDStlI等产品在默认 规则配置下．都产生了一定数量的警报数据，但对当时网络环 境的检查和对警报数据的后期分析表明．产生的警报数据绝大 量警报数据．所以需要一种快速有效的异常判断方法，判断有 多数都是误报。因此，在这种情况下．即使有真实的入侵行为而 目的、有组织和相当数量的大规模攻击行为。而基于统计的异 触发了警报．也都将淹投在警报泛滥之中。如果为丁减少误报， 常检测方法是～种比较成熟的检测方法。应用统计方法检测的 简单过滤和禁止一些触发误报的检测规则，又将造成对相应类 前提条件是．所选择的统计数据源在正常情况下具有一定的统 型入侵行为的漏