计算机应用
計算機應用
계산궤응용
COMPUTER APPLICATION
2011年
5期
1271-1275,1279
,共6页
入侵检测%请求/应答协议%传输控制协议%有限状态机%协议解析%伪警报
入侵檢測%請求/應答協議%傳輸控製協議%有限狀態機%協議解析%偽警報
입침검측%청구/응답협의%전수공제협의%유한상태궤%협의해석%위경보
面对入侵检测系统(IDS)产生的海量警报,提出了一种基于协议解析和传输控制协议(TCP)有限状态机的伪警报去除方法.对于无连接的请求/应答协议,同时分析请求数据包的攻击特征和应答数据包的返回状态码来去除伪警报;对于TCP,在协议分析的基础上建立TCP数据包的有限状态机的模型,通过判断系列数据包是否为同一TCP连接、是否包含攻击序列来去除伪警报.在DARPA2000的数据集上的实验结果表明,此方法的误警率平均降低了59.47%,对TCP和请求/应答协议的警报的识别率达到76.67%.该方法简单又有效,依赖IDS的攻击特征库,可以插件的形式在线实现.
麵對入侵檢測繫統(IDS)產生的海量警報,提齣瞭一種基于協議解析和傳輸控製協議(TCP)有限狀態機的偽警報去除方法.對于無連接的請求/應答協議,同時分析請求數據包的攻擊特徵和應答數據包的返迴狀態碼來去除偽警報;對于TCP,在協議分析的基礎上建立TCP數據包的有限狀態機的模型,通過判斷繫列數據包是否為同一TCP連接、是否包含攻擊序列來去除偽警報.在DARPA2000的數據集上的實驗結果錶明,此方法的誤警率平均降低瞭59.47%,對TCP和請求/應答協議的警報的識彆率達到76.67%.該方法簡單又有效,依賴IDS的攻擊特徵庫,可以插件的形式在線實現.
면대입침검측계통(IDS)산생적해량경보,제출료일충기우협의해석화전수공제협의(TCP)유한상태궤적위경보거제방법.대우무련접적청구/응답협의,동시분석청구수거포적공격특정화응답수거포적반회상태마래거제위경보;대우TCP,재협의분석적기출상건립TCP수거포적유한상태궤적모형,통과판단계렬수거포시부위동일TCP련접、시부포함공격서렬래거제위경보.재DARPA2000적수거집상적실험결과표명,차방법적오경솔평균강저료59.47%,대TCP화청구/응답협의적경보적식별솔체도76.67%.해방법간단우유효,의뢰IDS적공격특정고,가이삽건적형식재선실현.
