论文部分内容阅读
入侵检测系统是网络安全的重要组成部分,在网络服务中得到越来越多的应用。入侵检测技术在应用中出现了误报率高,报警量大, 难以对报警信息进行有效管理等问题或困难,特别是分布式入侵检测系统的应用,更增大了报警管理的难度,从某种意义上说,已经影响或限制了入侵检测系统的进一步推广和应用。
报警关联是解决上述问题的有效方法。论文分四个部分对报警关联技术进行研究:第一、介绍了入侵检测系统报警关联的研究背景;第二、介绍了入侵检测报警关联的基本知识、基本操作和常用模型和相关技术,分类讨论了现有关联算法的特点;第三、介绍了基于密度的聚类算法DBSCAN,并对该算法提出两种改进算法IDBC和PDBC。IDBC算法可以避免因参数值设置不当引起的信息过量丢失;PDBC算法引入聚类思想,不但解决了单一参数值对全局聚类的影响,而且可以把大数据量的任务划分成多个小任务,缓解了聚类对系统资源的过高要求,提高了单机系统对海量报警的处理能力;第四、对算法PDBC的聚类效果和性能进行仿真实验研究,结果表明与DBSCAN相比,PDBC的运行速度更快,聚类效果更好,可以更有效地降低误报警,减少低层报警数量。