多数基于网络的入侵检测系统(NIDS)普遍存在的一个不足就是经常会产生大量相似的或重复的警报数据,可称之为警报洪流。NIDS应该极力避免警报洪流的出现,因为出现警报洪流时,NIDS检测到的真正的入侵行为所产生的警报就会被大量重复的警报所淹没,使得安全管理员很难发现真正的入侵警报。 数据融合是一种多层次、多方面的处理过程,这个过程是对多源数据进行检测、联合、相关、估计和组合以达到精确的状态估计和身份估计,以及完整、及时的态势评估和威胁估计。文章将数据融合技术应用到分布式入侵检测系统(DIDS)中,提出了将过滤与合成相结合的基于规则的警报数据融合模型。提出的模型易于实现,可用于处理漏报和大量重复警报的问题。设计并实现了模型中的规范化、过滤、合成、统计分析算法。实现的系统中采用了入侵检测信息交换格式IDMEF提供的数据格式,提高了开放资源和研究系统之间的互操作性。 设计并实现的基于过滤规则的警报过滤算法的过滤规则由统计分析自动产生。产生的过滤规则中加入了误报的细节分布特征,使得过滤更加谨慎,尽可能避免了滤除正确的警报。设计并实现的警报合成算法采用动态的合成时间窗口和动态的最大合成数窗口相结合,从而既有效地减少了重复警报的数量又保持了警报的及时性。 实现的系统在初步实验中采用了MIT林肯实验室的DARPA入侵检测评估数据集作为数据源。初步实验结果表明,当出现警报洪流时,数据融合系统可降低80%以上相似、重复的警报。 因此,通过对分布式系统中的警报数据进行融合处理可以消除大部分重复警报,有效的对付警报洪流,从而提高安全管理员分析警报的效率。此外,数据融合还能对来自不同的入侵检测系统(IDS)的警报数据进行融合以减少漏报,提高入侵检测的准确性。