Signature-based IDS 混合告警管理策略

A hybrid alarm management strategy in signature-based intrusion detection systems

本文认为单一的方法都有局限性,所以考虑混合的策略来进行告警的处理,从而实现减少告警的目的

Alarm verification

认证模块接受两个输入:警告 + 网络上下文信息

结果分析是一个九维向量:time, IP, port, protocol, OS, OS version, service, service version and vulnerability referenc

报警与漏洞的相关性

这一步主要关注漏洞与特定系统之间的联系。

认证向量的生成

根据上表形成一个01向量,可以观察出: * 全1向量:高兴趣度的告警 * 111100000向量:可能,但是低兴趣度的向量 * 第二位为0的向量:IP不匹配那么告警被舍弃 * 第一位为0的向量:根绝其他属性做匹配,但是要生成异常调整阈值

告警优先级

优先级取决于以下的影响因子: * 模型可信度:由ArcSight(衡量威胁等级的公式)来进行评判 * 相关度: * 严重程度 * 临界程度