入侵檢測(cè)系統(tǒng)作為一種網(wǎng)絡(luò)主動(dòng)防御手段,它可以識(shí)別入侵者、識(shí)別入侵行為、檢測(cè)和
監(jiān)視已經(jīng)成功的入侵,并進(jìn)行入侵響應(yīng)。但是在實(shí)際網(wǎng)絡(luò)環(huán)境中，對(duì)已部署的入侵檢測(cè)系統(tǒng)產(chǎn)生的報(bào)警信息進(jìn)行分析時(shí)發(fā)現(xiàn)如下問題：①重復(fù)報(bào)警，IDS有時(shí)會(huì)對(duì)同一個(gè)攻擊目標(biāo)在幾分鐘之內(nèi)甚至幾十秒內(nèi)產(chǎn)生幾十個(gè)報(bào)警，大量重復(fù)事件使報(bào)警信息沒有任何可讀性；②誤報(bào)，IDS會(huì)產(chǎn)生很多這樣的誤報(bào)信息，如在Linux操作系統(tǒng)網(wǎng)絡(luò)中, 如果遭受“紅色代碼”病毒攻擊并不會(huì)對(duì)系統(tǒng)產(chǎn)生影響，但I(xiàn)DS 會(huì)將此攻擊記錄下來,并產(chǎn)生誤報(bào)；③孤立報(bào)警，攻擊者進(jìn)行攻擊時(shí), 往往是通過一系列的攻擊行為才能達(dá)到最終目的，IDS只對(duì)每一次攻擊產(chǎn)生報(bào)警, 缺乏對(duì)攻擊序列關(guān)聯(lián)分析。
由于大量的重復(fù)報(bào)警和誤報(bào)的存在，大大降低了真實(shí)報(bào)警的可見性，使得管理員難以從
紛繁蕪雜的事件中準(zhǔn)確識(shí)別出真正的攻擊和威脅的報(bào)警, 且由于檢測(cè)引擎缺乏對(duì)序列攻擊的分析難以重組整個(gè)攻擊場(chǎng)景，在遭受重大序列攻擊時(shí)使我們很難對(duì)攻擊者取證和防范再次類似攻擊的能力，更難以及時(shí)更新保護(hù)區(qū)的系統(tǒng)的漏洞。
因此為了解決上述問題,需要對(duì)原始報(bào)警信息進(jìn)行二次分析與處理，即根據(jù)原始報(bào)警之
間的屬性關(guān)系對(duì)原始報(bào)警進(jìn)行聚合和關(guān)聯(lián)處理。本文設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)高效的報(bào)警信息聚合與關(guān)聯(lián)系統(tǒng), 用于報(bào)警信息的融合。實(shí)驗(yàn)表明, 該系統(tǒng)有效減少了報(bào)警數(shù)量, 降低了誤報(bào)率,達(dá)到了很好的實(shí)際應(yīng)用效果。