发明名称 |
WLAN无线入侵告警聚合方法 |
摘要 |
本发明公开了一种面向WLAN的无线入侵告警聚合方法,包括如下步骤:步骤一、告警格式化:首先对已有无线入侵检测系统捕获的原始安全告警进行格式化处理,改进通用的入侵检测消息交换格式IDMEF的告警格式,引入AP接入点等无线设备信息;步骤二、告警精简:WLAN无线入侵检测系统产生的告警包含了大量的无关告警和重复告警信息,对这些告警进行剔除和精简,提高分析告警的准确率和可靠性;步骤三、告警分类:对于剔除无关告警和重复告警后的告警,将原始告警聚合为超告警,对应某一类具有明显攻击行为特征的安全告警,为后续的入侵防御决策提供前提条件。可以大大减少原始告警中无关告警和重复告警的数量,提高无线入侵检测的性能。 |
申请公布号 |
CN104009870A |
申请公布日期 |
2014.08.27 |
申请号 |
CN201410238569.1 |
申请日期 |
2014.05.30 |
申请人 |
浙江大学城市学院 |
发明人 |
陈观林 |
分类号 |
H04L12/24(2006.01)I;H04W12/08(2009.01)I |
主分类号 |
H04L12/24(2006.01)I |
代理机构 |
杭州九洲专利事务所有限公司 33101 |
代理人 |
张羽振 |
主权项 |
一种WLAN无线入侵告警聚合方法,其特征在于:包括如下步骤:步骤一、告警格式化:首先对已有无线入侵检测系统捕获的原始安全告警进行格式化处理,改进通用的入侵检测消息交换格式IDMEF的告警格式,在其中引入AP接入点等无线设备信息,具体包含AP的SSID、工作信道、MAC地址、信号强度、是否加密以及加密机制等内容,使之能够反映WLAN无线环境的特征信息;步骤二、告警精简:WLAN无线入侵检测系统产生的告警包含了大量的无关告警和重复告警信息,对这些告警进行剔除和精简,提高分析告警的准确率和可靠性;步骤三、告警分类:对于剔除无关告警和重复告警后的告警,利用AP的SSID、攻击源的MAC地址、AP的MAC地址等特征进行分类,将原始告警聚合为超告警,对应某一类具有明显攻击行为特征的安全告警,为后续的入侵防御决策提供前提条件。 |
地址 |
310015 浙江省杭州市湖州街50号 |