10.3969/j.issn.1000-3428.2005.07.022
分布式入侵检测中的报警关联方法述评
一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫.但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略.如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵.文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价.
入侵检测、攻击、报警关联、超报警类
31
TP393.09(计算技术、计算机技术)
国家高技术研究发展计划863计划2003AA414210;国家自然科学基金60173051;教育部优秀青年教师资助计划
2005-05-19(万方平台首次上网日期,不代表论文的发表时间)
共3页
58-59,107