入侵檢測系統(tǒng)作為一種網(wǎng)絡(luò)主動防御手段,它可以識別入侵者、識別入侵行為、檢測和
監(jiān)視已經(jīng)成功的入侵,并進行入侵響應(yīng)。但是在實際網(wǎng)絡(luò)環(huán)境中，對已部署的入侵檢測系統(tǒng)產(chǎn)生的報警信息進行分析時發(fā)現(xiàn)如下問題：①重復(fù)報警，IDS有時會對同一個攻擊目標(biāo)在幾分鐘之內(nèi)甚至幾十秒內(nèi)產(chǎn)生幾十個報警，大量重復(fù)事件使報警信息沒有任何可讀性；②誤報，IDS會產(chǎn)生很多這樣的誤報信息，如在Linux操作系統(tǒng)網(wǎng)絡(luò)中, 如果遭受“紅色代碼”病毒攻擊并不會對系統(tǒng)產(chǎn)生影響，但IDS 會將此攻擊記錄下來,并產(chǎn)生誤報；③孤立報警，攻擊者進行攻擊時, 往往是通過一系列的攻擊行為才能達到最終目的，IDS只對每一次攻擊產(chǎn)生報警, 缺乏對攻擊序列關(guān)聯(lián)分析。
由于大量的重復(fù)報警和誤報的存在，大大降低了真實報警的可見性，使得管理員難以從
紛繁蕪雜的事件中準(zhǔn)確識別出真正的攻擊和威脅的報警, 且由于檢測引擎缺乏對序列攻擊的分析難以重組整個攻擊場景，在遭受重大序列攻擊時使我們很難對攻擊者取證和防范再次類似攻擊的能力，更難以及時更新保護區(qū)的系統(tǒng)的漏洞。
因此為了解決上述問題,需要對原始報警信息進行二次分析與處理，即根據(jù)原始報警之
間的屬性關(guān)系對原始報警進行聚合和關(guān)聯(lián)處理。本文設(shè)計并實現(xiàn)了一個高效的報警信息聚合與關(guān)聯(lián)系統(tǒng), 用于報警信息的融合。實驗表明, 該系統(tǒng)有效減少了報警數(shù)量, 降低了誤報率,達到了很好的實際應(yīng)用效果。