入侵检测系统中分层报警处理模型的研究

针对入侵检测系统中报警泛滥的问题,提出了一种分层的报警数据处理模型,在不同层次对报警数据进行了过滤、归约、融合和关联。在过滤阶段,建立了知识库对误警进行了消除;在归约阶段,设计了归约算法,可以实时消除报警中的重复信息;在融合阶段,设计了一种基于聚类的融合算法,可以实时消除报警中的相似信息;在关联阶段,首先用频繁片段算法对训练数据进行了分析,发现其中的入侵模式,然后再以这些模式建立知识库,为基于聚类的关联算法提供攻击的相似信息以发现入侵模式。通过上述处理,减少了报警中的错误信息和无用信息,减轻了系统和管理员的负担,同时可以发现入侵的攻击模式,对入侵进行预警。实验证明所提出的模型是有效的。