10.3969/j.issn.1006-2475.2020.05.019
一种基于信息熵的IDS告警预处理方法
针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题,提出一种基于信息熵的IDS告警预处理方法,用于减少误告警,聚合相似告警,生成代表单步攻击意图的超告警.首先,对IDS告警进行特征提取,用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量.通过与误告警的特征向量进行互雷尼信息熵的计算,从而识别出误告,并且去除误告.然后对误告去除后的告警按照IP对应关系,划分为2类:一种源IP对应一种目的IP的告警以及一种源IP对应多种目的IP的告警.分别对2类告警进行特征统计,构造5维特征信息熵向量,采用DBSCAN算法将信息量相同或者相似的告警进行聚类.最后对各个类别的告警进行动态时间窗口划分,并构建出代表单步攻击意图的超告警.实验结果表明,基于信息熵的告警预处理方法误告去除率为87.43%,告警聚合率达到98.63%,具有较好的误告去除效果以及较高的告警聚合率.
入侵检测系统、误告去除、告警聚合、互雷尼信息熵、聚类
TP393.08(计算技术、计算机技术)
国家自然科学基金资助项目;贵州省科技计划项目;河南省科技攻关计划项目;河南省高校科技创新人才计划项目;河南省高校青年骨干教师计划项目
2020-05-25(万方平台首次上网日期,不代表论文的发表时间)
共9页
111-119