| 发明名称 | 大规模分布式入侵检测系统的数据融合机制 | ||
| 摘要 | 本发明为大规模分布式入侵检测系统实时告警融合机制。在大规模高速网络中,入侵检测系统一般采用分层的分布式结构,通过分散采集、分布处理和集中管理,满足了大规模高速网络的需求。在一个大型网络中可以配置多个入侵检测系统,每个入侵检测系统负责网络的一部分,还可以配置一些如防火墙等其它安全部件。为了获得入侵的全局视图,要求这些安全部件能够协同工作。本发明提出一种大规模分布式网络情况下的入侵检测告警实时融合机制(如附图所示),通过“聚类—合并—关联”三个步骤实现对告警的融合,目标是产生大规模环境下的告警,同时提高单个入侵检测的检测率,降低它们的虚警率,最终为安全管理人员提供简练精确的告警。 | ||
| 申请公布号 | CN1472916A | 申请公布日期 | 2004.02.04 |
| 申请号 | CN03137444.1 | 申请日期 | 2003.06.24 |
| 申请人 | 北京邮电大学 | 发明人 | 吕慧勤;杨义先 |
| 分类号 | H04L9/32;H04L9/00;H04L12/26;H04L12/24;G06F17/00 | 主分类号 | H04L9/32 |
| 代理机构 | 代理人 | ||
| 主权项 | 1.一种大规模分布式网络情况下的入侵检测告警实时融合机制,通过“聚类——合并——关联”三个步骤实现对告警的融合,聚类是通过计算低级告警的相异度,将多个相似程度较高的低级告警放到一起,形成一个或多个告警簇,合并是将一个告警簇变成一个新的中级告警,这个新告警包含原告警簇中的各种有代表性的信息,关联是利用关联规则将多个中级告警关联成一个高级告警的过程,通过聚类、合并、关联过程后,最终生成高级告警,并提供给安全管理员。 | ||
| 地址 | 100876北京市海淀区西土城路10号 | ||