目前入侵检测系统主要采用误用检测和异常检测两种方法,都不可避免地会产生漏报和误报,数量庞大的告警使得管理员很难从中真正了解当前系统的安全状况。研究者们在不断改进检测算法、完善攻击模式库的同时,已经开始利用告警之间的关联来提高入侵检测的性能。美国北卡罗莱纳州大学的Peng Ning及其工作小组提出的告警因果关联方法,利用入侵行为所需的攻击前提和造成的攻击结果,将不同的告警按因果关系关联起来,从而重构攻击者的攻击场景。然而,此前的研究很少考虑到入侵检测系统告警关联的置信度问题,往往认为只要关联引擎将两个告警相关联,那么它们之间的关联关系就必然真实存在。但是由于关联算法本身存在的种种局限,事实上存在着一定的误关联情况,而且不同的关联,它们的可信度实际上也并不相同。为了解决这个问题,本文结合当今入侵检测系统告警关联研究的现状,在主要研究Peng Ning提出的基于攻击前提和攻击结果的告警因果关联方法的基础上,把告警关联的置信度作为一个独立的关联属性引入,做到不仅将告警进行关联,并对此关联的可信度进行定义,在告警关联方面提出了一些自己的见解,主要工作有:(1)在考虑告警关联置信度的基础上,设计了一种较为详细的因果关联算法,把置信度作为告警关联的一个独立属性加载到整个算法中,和传统算法中完全依赖专家知识、不考虑关联的可信度的做法不同,此算法根据告警原有属性,综合运用多层神经网络和支持向量机的方法,通过数据挖掘和数据训练,不断更新告警关联的置信度。此算法中的告警关联置信度可作为一个重要的因素,直接影响并优化告警关联的结果。(2)在算法的基础上,设计了一个综合的告警因果关联置信度模型,此模型以告警因果关联模型为基础,主要分成四个模块:告警预处理、关联引擎(包括因果关联和置信度计算)、数据库管理、可视化显示等子模块组成。该模型能很好地将置信度引入到告警因果关联方法之中。(3)利用DARPA标准数据集对告警因果关联置信度模型进行了简单的仿真实现,初步的实验结果表明该模型能有效排除误报和发现漏报,同时能发现专家知识库中可能存在的错误,达到减少信息冗余,改进因果关联效果,提高安全管理员工作效率的目的。本文提出的考虑置信度的告警因果关联方法和前人已有的算法的最大不同在于它考虑了告警关联的可信度,并将其作为一个独立属性引入到算法中来。这样,算法就能更加有效地消除冗余的告警,同时实现对攻击步骤的可信度描述,帮助管理员在大规模的告警中,更有效地认识到攻击者的意图,真正了解当前系统的安全状况。