(计算机科学)分布式IDS报警聚合研究与实现
IDS的模型、分类、趋势
引言【比特网专家特稿】近年来随着信息和网络技术的高速发展以及政治、经济或者军事利益的驱动,计算机和网络基础设施,特别是各种官方机构的网站,成为黑客攻击的热门目标。
近年来对电子商务的热切需求,更加激化了这种入侵事件的增长趋势。
由于防火墙只防外不防内,并且很容易被绕过,所以仅仅依赖防火墙的计算机系统已经不能对付日益猖獗的入侵行为,对付入侵行为的第二道防线——入侵检测系统就被启用了。
1.入侵检测系统(IDS)概念1980年,James P.Anderson第一次系统阐述了入侵检测的概念,并将入侵行为分为外部滲透、内部滲透和不法行为三种,还提出了利用审计数据监视入侵活动的思想[1]。
即其之后,1986年Dorothy E.Denning提出实时异常检测的概念并建立了第一个实时入侵检测模型,命名为入侵检测专家系统(IDES),1990年,L.T.Heberlein等设计出监视网络数据流的入侵检测系统,NSM(Network Security Monitor)。
自此之后,入侵检测系统才真正发展起来。
Anderson将入侵尝试或威胁定义为:潜在的、有预谋的、未经授权的访问信息、操作信息、致使系统不可靠或无法使用的企图。
而入侵检测的定义为:发现非授权使用计算机的个体(如“黑客”)或计算机系统的合法用户滥用其访问系统的权利以及企图实施上述行为的个体。
执行入侵检测任务的程序即是入侵检测系统。
入侵检测系统也可以定义为:检测企图破坏计算机资源的完整性,真实性和可用性的行为的软件。
入侵检测系统执行的主要任务包括[3]:监视、分析用户及系统活动;审计系统构造和弱点;识别、反映已知进攻的活动模式,向相关人士报警;统计分析异常行为模式;评估重要系统和数据文件的完整性;审计、跟踪管理操作系统,识别用户违反安全策略的行为。
入侵检测一般分为三个步骤:信息收集、数据分析、响应。
入侵检测的目的:(1)识别入侵者;(2)识别入侵行为;(3)检测和监视以实施的入侵行为;(4)为对抗入侵提供信息,阻止入侵的发生和事态的扩大;2 .入侵检测系统模型美国斯坦福国际研究所(SRI)的D.E.Denning于1986年首次提出一种入侵检测模型,该模型的检测方法就是建立用户正常行为的描述模型,并以此同当前用户活动的审计记录进行比较,如果有较大偏差,则表示有异常活动发生。
知识库背景下分布式IDS的结构与运行机制
目标 .捡 刹 策 略 系统 结构 和 运 行 机制 并说 明 了 系统 的部 分 实现 细 节 。
关 键词 : 知 识库 ; 分 布 式 入 侵 检 测 ; 系统 结 构: 运 行 机制
Th yse a c t cur n c a s o tu i n d t c in y tm n r e s tm r hi t e a d me h nim fi r so e e to s se u c g o nd e g — a eba k r u
维普资讯
第2 3卷 第 1 期
Vo1 23 . No .1
计 算机工 程与设计
COM P ER UT ENGI NEERⅡ G AND DESI GN
20 年 1 02 月
Jn 2 2 a 00
文章编 号 .007 2 (02 叭一0 60 10 —0 4 2 0 1 0 2 -3
其 他系 统 一 , 目前 的入侵 检测 系统 还存 在 许 多其他 问 样 题.有的是将 来可能解 决 的,而有 的 则可能是 永远得 不到
解 决.本文 旨在从 系统 结掏和运 行机制 的角度 来解 决或是
Ke wo d : k o e eba e d srb td; i ta in d t c o y r s n wldg - s  ̄ iti u e nr so e e t n; ac t t r i r hi u e:me h n s ec c a im
1 引 言
由于社会 历 史和技 术的原 因,嘲络 的安 问题 曰趋 严 重.传统 的安全技术 已不足 以解决所 有的 安全 问题 为 此, 入侵 ( 含系统 误用) 检测 成为 了一种必 要的和 有效 的补
X U Yo g, n LI Bo U
校园网入侵检测系统(IDS)的研究与设计
的入侵检 测要 求。 系统采用代理控制 中心对各个代理 的报警统 一管理 ,各个代理 具有 一定的 自治性 ,可单独使 用 ;
系统采用 了一定的状态检查方法 ,以保证整个 系统 自身的安全 ;系统的 实验原型在 Widw 操作 系统 环境 下 实现 , nos
但 系统 的结 构 不 受 操 作 系统 所 限 。
率高 、网络应用多 、相 关 的教学 任务应 用 比较集 中。这种情
况 下 ,校 园 网络 面 临 着 许 多 安 全方 面 的威 胁 :
()黑客攻击 ,特别是 假 冒源地址 的拒绝服 务攻击 屡有 1
发生 。
()按已知入侵模式识别入侵行为,并及时发 出报警信息。 2
()对异常行 为模式进行统计分析。 3
()病 毒和蠕虫 ,在高 速大容量 的局 域 网络 中 ,各种 病 2
毒 和蠕虫 ,不论 新 旧都很容 易通过用 户下 载或有漏 洞 的系统 迅速传播扩散。 ()滥用 网络资源 ,在校 园 网中总会 出现滥用带 宽等 资 3 源 以致影 响其他用户甚至整个网络正常使用 的行为 。 在 以上 安全 威 胁 面前 ,服务 于校 园 网的 入侵 检 测 系统 (nrs nD tc o yt It i e t nSs m,I S 必 须 满足 以 下需 求 : ( ) u o ei e D) 1 分布式结构 :由分布 在网络 中的监测代 理收集 数据 ,然后汇 总统一处理结果 ,这也是 各 I S在大规模 网络 中唯一 可行 的 D 实用方 法 ; ()误用检测功能 :误用检测仍是现在 I S应用 2 D 的主流 。误用检 测系统性 能好坏 的关 键就 在其特 征库是 否完 备 ; ()异常检测功能 ; ()攻击源追踪。 3 4
d fn e u t Sp o o e n mp e n e e me h d fit so ee t n i r e d p o t e c mp s n t r n e e d s c r y i r p s d a d i lme t d n w t o so r in d tc i n o d rt a a t a u ewo k i — i nu o o t h t so ee t n r q i me t. y t m o t lc n e g n o a h u i e n g me to e p l e e c g n a e — u r in d tc i e u r o e n s S se c n r e tra e t re c nf d ma a e n f h oi , a h a e t sa c r o f i t c h t i e r e o u o o , n a e u e ln . n a d t n t e s s m h c st e sau fa c r i t o o e s r e an d g e fa t n my a d c n b s d ao e I d i o . h y t c e k h tt s o et n meh d t n u e t i e a h s ft fs se i ef An e p r n a rt tp y tm n t e W i d wss se e v rn n o a h e e b tt e sr cu e o aey o y tm t l s . x e me t l ooy e s s i p e i h n o y tm n i me t c i v , u h t t r f o t u t e s se i o mi d b e o e ai g s se h y tm Sn tl t y t p r t y tm. i e h n Ke r s I y wo d : DS:D sr u e iti t d: e u t r tc f e l b s c r y p oe t: r wal i i
一种IDS报警预处理模型APM的设计与实现
建设与管理
一
种 I S报警预处理模型 AP 的设计与实现 D M
署 到东南大学校 园网边界 ,得到如 图 1 所 要想提高安全事件的响应效率必须将无效
■文 /李杰 龚俭
示 的在一个 星期内安全事件报警数量 的分 报警从 IS的海量 报警 当中筛选掉 。 D 为了解决网络安全 问题 ,网络技术人 布 。 图 1 从 中可以看出 IS 天都有 100 只 能提供 安全事件的基本属性 D每 00 员研究 并发展 了多项网络安全 技术 ,如 防 条 以上 的安全 事件 报警 ,而响应系统也无
发的Mos r nt 入侵检测系统为例,将其部 e
. .
_— 一. ◆一・ —
- _{ - 。
; “ 0 {
第三 ,检测相应的攻击事件 ; 第 四 ,针 27. 国 育 络5 o 中 教 网 1 01
不同的 I S D 的安全事件报警通常具有 述 ,图 3 中描述 了两 次不同类型的 网络攻
栈溢 出攻击 特征 发 起 肯 : 网 用 户 外 攻 击 类 型 : b f f V m O tak u eO e W a c i t
往往很大 ,使得 网络管理 员很难对 其进 行 建议 的遵从 程度 不 高 。如 图 2所 示 的是 n r入侵检测 系统和 Mo s r nt 入侵检测 e 有效 的处理 ,因此 I S 报的冗余消除和 S ot D 警 自 的预处理成为 I S 动 D 技术的研究热点 。 系统输 出的报警格 式对 比。从 图 2中可 以 本 文针对 I S D 的安全事件 报警存在 的 看 出 ,两者都 存在 一些共 同的基本 属性 , 问题 ,提 出一种 I S报警 的预 处理模 型 例如 :事件名称 、源地址 、宿地 址等 ,同 D A M, P 该模型能够对来 自 IS 各 D 的报警 进 行有效预处理 ,包括统一 报警格 式、过滤 无效报警并对报警进行响应紧急程度评估 , 从而能够为后继的响应过程提供很好的支 持 ,提高响应的效率 。
IDS技术——精选推荐
网络的检测 基于网络的模型:
即通过连接在网络上的站点捕获网上的包,并分析其是否具有已知的攻击模式,以此来 判别是否为入侵者。当该模型发现某些可疑的现象时也一样会产生告警,并会向一个中心管 理站点发出“告警”信号。
基于网络的检测 有以下优点 : 一是侦测速度快:基于网络的监测器通常能在微秒或秒级发现问题。而大多数基于主机 的产品则要依靠对最近几分钟内审计记录的 分析。 二是隐蔽性好:一个网络上的监测器不像一个主机那样显眼和易被存取,因而也不那么 容易遭受攻击。由于不是主机,因此一个基于网络的监视器不用去响应 ping,不允许别人存 取其本地存储器,不能让别人运行程序,而且不让多个用户使用它。 三是视野更宽:基于网络的方法甚至可以作用在网络的边缘上,即攻击者还没能接入网 络时就被制止。 四是较少的监测器:由于使用一个监测器就可以保护一个共享的网段,所以你不需要很 多的监测器。相反地,如果基于主机,则在每个主机上都需要一个代理,这样的话,花费昂 贵,而且难于管理。 五是占资源少:在被保护的设备上不用占用任何资源。
IDS 的工作原理 警报是 IDS 向系统操作员发出的有入侵正在发生或者正在尝试的消息。一旦侦测到入侵, IDS 会以各种方式向分析员发出警报。 如果控制台在本地,IDS 警报通常会显示在监视器上。 IDS 还可以通过声音报警(但在繁忙的 IDS 上,建议关闭声音)。 警报还可以通过厂商的通信手段发送到远程控制台,除此之外,还有利用 SNMP 协议(安全 性有待考虑、email、SMS/Pager 或者这几种方式的组合进行报警。
事件风险 一般事件风险列表窗口
配置 Report 报表的登录界面
安全事件报表、系统事件报表、审计事件报表
报表的数据服务器信息设置界面
数据服务器信息
分布式IDS的报警关联定义
文章编号:1006-2475(2006)06-0088-03收稿日期:2005-08-18基金项目:国家863资助项目(2003AA142010)作者简介:蒋少华(1976-),男,湖南衡阳人,湖南师范大学计算机教学部讲师,国防科技大学计算机学院硕士研究生,研究方向:计算机网络安全,软件工程;姚娟(1978-),女,华中师范大学信息管理系硕士研究生,研究方向:安全电子商务;胡华平(1967-),男,国防科技大学计算机学院教授,博士生导师,博士后,研究方向:计算机网络安全,密码学。
分布式IDS 的报警关联定义蒋少华1,2,姚娟3,胡华平1(1.国防科技大学计算机学院,湖南长沙410073;2.湖南师范大学计算机教学部,湖南长沙410081;3.华中师范大学信息管理系,湖北武汉430079)摘要:网络规模越来越大,传统的IDS 往往存在漏报误报率高、报警太低级的问题,因而不能及时准确反映整个系统的安全态势,网络管理人员不得不面对海量的原始报警信息,如大海捞针般地寻找可能的安全威胁和攻击来源。
本文首先讨论了现有IDS 的不足;之后给出了报警关联的定义。
本文的研究成果已经在“网络安全监控与预警系统”(十五863项目)中得到应用,对分布式入侵检测系统的报警关联设计有重要的参考价值。
关键词:分布式入侵检测系统(DIDS );报警事件;报警关联;响应中图分类号:TP393.08文献标识码:ADefinition of Alert Correlation in Distributed IDSJIANG Shao-hua 1,2,YAO Juan 3,HU Hua-ping 1(1.SchooI of Computer Science ,NationaI University of Defense TechnoIogy ,Changsha 410073,China ;2.Department of Computer Education ,Hunan NormaI University ,Changsha 410081,China ;3.Department of Information Management ,CentraI China NormaI University ,Wuhan 430079,China )Abstract :Nowadays ,the present IDS has too many faIse negatives and faIse positives ,and the IeveI of the aIert is too Iow.So it cannot refIect the security situation of the whoIe network accurateIy and in time.The administrators have to deaI with a Iot of raw aIerts to find the possibIe security threat and the source of attack just as Iook for a needIe in a bottIe of hay.In this paper ,the shortages of the present IDS are presented firstIy.Then ,a definition of aIert correIation is given.The production of this paper has been appIied into “the Network Security Monitor and the Warning TechnoIogy ”,which wiII do a great deaI of good for the design of aIert correIation system in distributed IDS.Key words :distributed intrusion detection systems(DIDS );aIert event ;aIert correIation ;response 0引言当越来越多的公司将其核心业务向互联网转移的时候,网络安全作为一个无法回避的问题呈现在人们面前。
防火墙技术中的IDS功能研究
防火墙技术中的IDS功能研究随着网络技术的发展,网络安全的问题也逐渐成为人们关注的焦点。
网络攻击行为频繁发生,导致许多网络安全问题,并给数据的安全性和隐私性带来严重的威胁。
防火墙作为网络安全的重要组成部分之一,其主要功能是在网络边界上监控、过滤和控制网络数据流。
但是,传统的防火墙技术只能提供有限的安全保护,并不能完全保障网络的安全性。
为了提高网络的安全性,防火墙需要增加支持IDS(入侵检测系统)功能,以便更好地检测并对抗网络攻击行为。
一、IDS功能简介IDS是一种能够自动地对网络流量进行扫描、监控和分析的软件或硬件设备。
其主要功能是检测网络中的入侵性行为,并在发现异常情况时即时地抛出警报。
IDS系统通常由两个部分组成:传感器(Sensor)和管理台(Management Console)。
传感器的作用是收集网络流量,检测入侵行为,同时传输结果给管理台。
管理台负责显示传感器所收集到的结果,并向管理员发送警报。
IDS具有良好的可扩展性和自适应性特点,可以根据不同的安全需求和网络特点进行定制。
二、IDS功能的组成原理IDS具有三大组成部分:数据采集模块、事件处理模块和警报处理模块。
1.数据采集模块:数据采集模块主要负责从网络中采集数据,并传输给IDS系统。
传感器根据预先编写的检测规则来检查网络流量,当发现预定义的行为时,IDS将数据保存在数据库中,然后将相关警报发送到管理台。
传感器可以通过几种不同的方式收集数据,例如监听网络流量、存取其他设备上的数据或者直接接入感兴趣的设备。
2.事件处理模块:事件处理模块负责处理传感器所收集到的事件。
首先对传感器获取的数据进行分类分析,并识别可能的安全威胁。
然后起草一个事件报告,并同时生成一个事件记录以便后续进行递交或审查。
3.警报处理模块:警报处理模块通常负责向管理员发送事件警报。
当IDS检测到一种异常行为时,会生成一个警报,并将其发送到管理台。
这些警告包括事件碰撞、地址扫描、端口扫描、登录失败和其他安全威胁事件。
IDS技术原理解析
Petri网分析一分钟内4次登录失败
基于协议分析的检测
检测要点
▪ TCP协议:protocol:tcp ▪ 目地端口21:dst port:21 ▪ 必须是已经建立的连接:conn_status:established(TCP层状态跟
踪) ▪ 必须是FTP已经登录成功:ftp_login:success(应用层状态跟踪) ▪ 协议命令分析,把cd命令与后面的参数分开来,看cd后面是目录名
插入攻击
在数据流中插入多余的字符,而这些多余的字符 会使IDS接受而被终端系统所丢弃。
逃避攻击
想办法使数据流中的某些数据包造成终端系统会 接受而IDS会丢弃局面。
拒绝服务攻击
IDS本身的资源也是有限的,攻击者可以想办法使其耗 尽其中的某种资源而使之失去正常的功能
▪ CPU,攻击者可以迫使IDS去执行一些特别耗费计算时间而又无意义 的事
IDS分析方式
异常发现技术(基于行为的检测 ) 模式发现技术(基于知识的检测 )
基于行为的检测
基于行为的检测指根据使用者的行为或 资源使用状况来判断是否入侵,而不依 赖于具体行为是否出现来检测,所以也 被称为异常检测(Anomaly Detection)。
▪ 与系统相对无关,通用性强 ▪ 能检测出新的攻击方法 ▪ 误检率较高
提供报警显示 提供对预警信息的记录和检索、统计功能 制定入侵监测的策略; 控制探测器系统的运行状态 收集来自多台引擎的上报事件,综合进行事件分析, 以多种方式对入侵事件作出快速响应。
这种分布式结构有助于系统管理员的集中管理,全面搜 集多台探测引擎的信息,进行入侵行为的分析。
IDS的基本结构-----控制中心的功能结构
入侵检测系统的作用
实时检测
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
, ,
」
。
昭
一
,
,
【 〕 郭 帆 余敏 叶继 华 一 种 基 于 关联 和 代理 的分布式人 侵检测 模
型
设计方 案
。
计算 机应 用
,
,
一
参 考 文 献
〕 穆成坡 黄厚宽 田 盛 丰 人 侵 检测 系统 报 警信息 聚 合 于 关 联 技
, ,
上接 第
页
概 念 之 间 的 层 次关 系 对 应 本 体 概 念 之 间 的 分 类 关
以 及类 之 间 的 分类关 系
,
。
根据
,
粗集理论 在 表达 不 确定 性 问 题上 有 独 特 的 优点 它 运 用 粗糙概念 格 能 处理不 确定 知识 的思 想 以粗 糙概
念 格 作为领 域本 体 的 构建 方 式 不 但 清 晰地表 达 出 概 念 以 及
,
节 构建 的领域粗糙概 念格 映射到 海 洋 本体 可 得 一 些 类 图
基 于文献 〔 〕 提 出的 框架 但是 在最 终判 决时 引人 了模糊 矩 阵 并且 把从事 件中提 取的特 征也作 为待 比较的 属性之一实 验 结果较 好但 是该实 验模型 中计算 的属性 较少 仅包括 报替 时 间和 源 阁 提出 了报 普属 性分 类的 概念 将所
有 属性值 分为 四个大 类使 用相 似度计 算子 来进行 属性 相似 度 计算 但是没 有对每 类具体 属性 的计算 方法深 人讨论 上 我们 在综合 文献 〔 」的属性 分类 和聚合 算法 框架 基础 按照 攻击意 图对待 聚台 的报普进 行分 类 提 出了一种 基于 分 类和相 似度 的报警 聚合算’ 法算 法框 架如图 所示
程及应用
, ,
,
,
,
一
【 〕 谢 志鹏 刘宗 田 概 念 格 的快 速 渐 进 式 构造 算 法
报
,
计算 机 学
一
河 北 农 业 大学 〔 〕 许伟 刘 倩 形 式 概 念 分析 中 的 粗糙集方 法 〔 〕
学报
,
,
一
〕
,
元
〕
己眼
眼 眼 助
一
」 黄伟 金远 平 形 式 概 念 分析在本 体构 建 中的应 用 〔 微 机 发
类 别 可 以针对 不同类 别采 取不 同的 相似度 计算 方法 我们 目前把 报替主 要分为 发现 扫 描 拒绝 服务 权限提 升 访 四大类 因此 图中有 四张超 报警 同时依 据报替 属性 分类 方法 将属 性值分 为四 类分 数值 属性 卜 时间 属性
别是类 别属性 闪 和字符 申属性 报 替分类 模块 根据
报赞 聚合与 报警 关联 报 警聚合 用 于消除 和减 少重 复报 报普 关联可 降低误 报和漏 报率 以及发 现高层 攻击策 略 报
替 聚合 可作为 报警关 联的预 处理部 件存 在不 同的采 集单元 对 于同 一攻击 事件可 能会 产生几 十上 百条 相同 的报警报警 聚 合的 目的是 将这些 报警 重新 聚合成 为一 条报 替 使得 管理 员 可以 专注于 发现真 实的攻 击意 图 本 文从报 替聚合 算法 体系 结构 通信模 式设 计和报 替 信息 格式等 方面人 手 综 合比 较当 前的 研究现 状提 出 了 一 套分 布式 〕 报警 聚合 系统的 设计和 实现方 案 报苦 聚 合 算法 报 警聚合 算法依 赖于 报警属 性的 相似 度 属 于同一 攻击 比
。 。
理 来 达到 目的
无 论 如何 粗糙概 念 形式分 析 为构建关 于 不
。
,
确定 知 识 的海洋 领 域 本体这一难 题提供 了新 的解决 思 路
参 考 文 献
【 」 周文 刘 宗 田 陈慧琼
机科 学
, ,
一
,
,
与本体结合研究 的综 述
计算 〕
【 〕 沈夏炯 韩 道 军 刘宗 田 概 念格 构 造 算法 的改 进 〔 〕 计算 机工
,
,
、
、
本体 形 式 化 描 述
选用 合适 的本 体描 述语言对 上 述建 立 的领 域本体原 型 进
能具有其他 的 一 些 条 件 特征 是 半确定 的
,
,
,
。
同理 可 以 得 到
。
,
行编码 形 式化
,
、
。
利 用形 式化 描 述语 言对 概 念 化 的领域 本
,
。
“
”
…
。
类 的 属 性 和 实例 从 而 得 到 完整 的本 体模 型
系
。
的上 近 来 说 实例 咬 是类 似外延 集合 表 示 所有具 有水 温 或 盐 度 或溶 解 氧或水 深 的变
例如 对 于类
,
,
,
,
,
,
,
化 可 能用 于 海 滨浴场的对 象集 合 是 不 确定 的 实例 为 本 体原 型 添 加 属 性 公理 实例 等 扩 充初始本 体
、 、
,
是类
、
,
。
的 下 近 似外 延 集 合 表 示 同时 具有水 温 盐 度 溶 解 氧 水 深的变 化 且 可 能用 于 海 滨浴场 的对 象集合 而这 些 对 象 有 可
计算 机科 学
知
分 布式
郭
报 警聚合 研究与实 现
帆 叶 继华 余 敏 南 昌
江 西 师范 大 学计 算 机 信息 工 程 学院
摘 要 如 何聚 合来 自不同 的 报誉 以减少重 复报誉 是分布 式 研 究的重 要问题 本 文综合 当前 研究现 状提 出 了一套 分布式 田 报 誉聚合 系统 设计方 案 该 方案主 要包括 设计一 种基 于代理 的分布 式田 报誉聚 合系统 体系结 构模 型提 出了基 于分 类和相似 度的 报誉聚 合算法 用于采 合重复 报誉采用基 于订 阅的通 信模式 方便不 同部件 之间的 通信 设计 基于 少 重复报 誉 关健 词 报 誉聚 合 的报 牛信 息格式 用于统 一来 自不同 上报 的报誉 信息 实验 表明 该方案 的 实现可 有效减
的报
奋 孟 奄 具 若 箱 藏 雨 属 在 石 潺萎 简 赢孚 斋 篓 获 示
提 出了报 警聚合 需要 比较的 通用 报警属 性为源 〔 幻 链 表
一 一 一 图‘ 基于分 类和相似度的报普康合算法 根 据报警 属性中 的 卜 值 所有 报警 可分为 不同
些 属性 怎样 知道 哪些 属性 相似 以及 这些 属性 如何分 配权 重 和 端口 目标 和端 口 以及报 警时 间等 它 把每类 属性 的比较 结果 赋予 。到 之间 的一个 小数 属性 值的 比较依 赖 预定义 的配置 通过 为每类 属性 赋予不 同权重 并结合 属性 相 似度值 最终 判断两 个报 警是否 可聚 合 其主要 贡献 在于 提 出了一 种报警 聚合算 法框 架但 并未 就具 体的属 性 比较和 权 重赋值 展开讨 论 基金项目 网络安全余 面上项目 提出 了 算法 其 中包含 属性 相 郭 帆
,
反
,
吃
卜
一
〔〕
结 束语
。
〕
,
详 铭
而
本 文 讨 论 了 一 套分 布式
,
〕
报 警 聚合 系统所需
,
伪
,
要 研 究 的若 干 领域 综 合 比较当前 的研 究 现 状 设 计并实现 了
一 种 基 于 分类 和 相 似度 的 报警 聚合算 法 提 出 了 一 种基 于 代
,
,
,
比
〔 〕 郭帆 余 敏 叶继 华 一 种基 于 分类 和相 似度计算 的报 普 聚 合方
可 以 对 超 报 瞥进 行 聚合 并在
, ,
,
术研 究综 述 〔〕 计算机研 究与发展
,
,
一
〕
记
,
。
司
映
,
。
数据集 上 进 行 了 验证 以 于 一 验 明 实 表 基 该统 报 警信 息格式 及 聚合 方法 可 有 效 减
,
,
,
,
少 来 自不 同
上 报 的重 复报 警 具 体实验 结果 可 参 见 文献
展
, ,
,
一
法 计算机应 用
,
,
理 的分布式
体 系结构 用 于 报警 聚 合与 关联 设 计 了一 种
,
,
,
一
基 于 订 阅的通 信模式 用 于 不 同单 元 之 间传 递 信 息 设 计并实 现 了 基 于 田 王 的统 一 报 警信 息格式 统 一 来 自不 同 田 产
品 的报 警 从 而 完 整提 出 了 一 套 分布式 田 报警 聚 合 系 统 的
的 值将 原始 报警进 行初
始分类 相似 度比较 模块 则根据 不同属 性分类 采用不 同的计 副教授 研究方向为网络安全 移动网络 叶继 华 副教授研究方 向为
敏 教授 硕士生导师 研究方向为信息 安全网络计算技术 人工智能
格 式 转换 模块 以 及相应 的报 警 聚合模 块 原 型 可 同时 满 足 本 地 组 件 和 网 络组 件 的要 求 既可 以对 原 始 报 替 聚合 也
是 粗糙 概 念层 次 说 明 的海洋本
。
概念 之 间的层 次关 系 易 于 人 们理 解 而 且注重 了 知识 的完备 性 使得构建 的 海洋 本体更 准 确 更完善
, ,
、
,
,
体 生 成 其 中每 一 个 字 母代表 一 个本 体类
。
些 不足 之 处
当然 粗糙 概念形 式分析 用 于 海 洋 本 体 的 生 成 仍 然有一 比如 初始 的 信 息 背 景仍 需 借 助 于 自然语 言处
。
,
体进 行 编 码 可 以 提 供 比 自然语言更严格 的格 式 使得机器 易