北京交通大学学报(自然科学版)
北京交通大學學報(自然科學版)
북경교통대학학보(자연과학판)
JOURNAL OF BEIJING JIAOTONG UNIVERSITY
2008年
6期
116-122
,共7页
报警评估%事件关联%背景知识分类%本体语言%入侵检测系统
報警評估%事件關聯%揹景知識分類%本體語言%入侵檢測繫統
보경평고%사건관련%배경지식분류%본체어언%입침검측계통
alert verification%event correlation%context classification%ontology language%intrusion detection system(IDS)
由于缺乏评估和关联报警的背景知识,IDS(入侵检测系统)产生的海量报警无法得到更进一步的真实化确认,从而使IDS成为当今安全产品中的诟病.在事件关联范畴内的报警评估是利用被监控系统的背景知识对IDS产生的大量报警进行进一步的分析,从而把真实的危害系统的报警呈现给用户的过程.这些用于评估IDS报警的背景知识包括受害主机系统信息和网络环境信息.本文介绍了事件关联的主要结构,并着重介绍报警评估的流程和所需背景知识库;然后详细描述了基于本体的背景知识库的分类技术;最后给出基于背景知识分类技术在报警评估过程中的具体实现过程.
由于缺乏評估和關聯報警的揹景知識,IDS(入侵檢測繫統)產生的海量報警無法得到更進一步的真實化確認,從而使IDS成為噹今安全產品中的詬病.在事件關聯範疇內的報警評估是利用被鑑控繫統的揹景知識對IDS產生的大量報警進行進一步的分析,從而把真實的危害繫統的報警呈現給用戶的過程.這些用于評估IDS報警的揹景知識包括受害主機繫統信息和網絡環境信息.本文介紹瞭事件關聯的主要結構,併著重介紹報警評估的流程和所需揹景知識庫;然後詳細描述瞭基于本體的揹景知識庫的分類技術;最後給齣基于揹景知識分類技術在報警評估過程中的具體實現過程.
유우결핍평고화관련보경적배경지식,IDS(입침검측계통)산생적해량보경무법득도경진일보적진실화학인,종이사IDS성위당금안전산품중적후병.재사건관련범주내적보경평고시이용피감공계통적배경지식대IDS산생적대량보경진행진일보적분석,종이파진실적위해계통적보경정현급용호적과정.저사용우평고IDS보경적배경지식포괄수해주궤계통신식화망락배경신식.본문개소료사건관련적주요결구,병착중개소보경평고적류정화소수배경지식고;연후상세묘술료기우본체적배경지식고적분류기술;최후급출기우배경지식분류기술재보경평고과정중적구체실현과정.
Intrusion Detection System (IDS) nowadays are known for producing a huge amount of alerts that are either not related to true alerts or not represented successful attacks due to lack of information to verify and to correlate IDS events.Alert verification,in the process of event correlation,is a method that we use to determine whether an alert from IDS is a false positive and to identify the success of an attack through context information of protected environment in two aspects.That is victim host context information and network context information.This paper presents alert analysis architecture in the event correlation process and then focuses on alert verification method using ontology-based context classification approach to achieve the goal of high efficiency of verification.An implementation shows in the end for the sake of validating the feasibility of the approach.
