网络入侵检测系统关联分析技术
李磊
（中国电信股份有限公司福建信息产业分公司福建福州350001)
安全技术探讨
摘要：随看计算机网络的飞速发展，信息安全越来超受到人们的重视。入侵检测技术作为保证计算机网络安全的核心技术在保护计算机安全方面起着越来越重要的作用。本文从入侵检测技术的基本规急和发展入手，以改击事伴的关联分新方法如何减少入侵检测系统的误报及报率进行了综述和研究，同时讨论了入促检测承统面临的主要间题及今后的发展趋势。
关键词：入侵检测系统关联分析预测改击脚本关联元改击行为建模
中图分类号：TK2513.4文献标识码：A 1、前言
文章编号：1007-9416(2011)11-0237-02
可以依据报警信息作出即时的反应和事后的修复工作。
电脑网络的快速发展，产生了许多新型的应用及信息的沟通方式，但也产生了许多网络犯罪及人侵攻击事件，一方面是因为软硬件具有可被人侵的漏润，另一方面网络及系统管理员希望能够安全地防护所管理的系统及敏感信息，所以信息加害技术，防火墙、杀毒软件等安全防护措施便应运面生，时间证明一直以来这些技术仍然无法杜绝攻击事件的发生，因此具有不同技术和特性的人侵检测系统（IntrusionDetectionSystem，IDS）成为信息系统的第二层防
侵检测系统是由软件或硬件所组成，用来主动监测在信息系统和网络中所发生的安全事件，当主机被攻击时，人侵检测系统分
析主机所万方数据
受的人侵程度和损害程度，并依此发出报警，使管理员
2、研究间题
2.1间题分析
目前人侵检测系统主要面临以下几个问题：
1)因为不同人侵检测系统的特性及检测能力不尽相同，单的人侵报警无法完整且正确的费集系统所受的威助及所面临的攻击事件信息。如网络型人侵检测系统，无法确认主机是否实际遭到入侵，面主机性人侵检测系统则无法得知人侵前攻击者所采取的攻击方式。
(2)入侵检测系统会产生的正确报警，可以提供报警的重要性级别，但是无法关联某项攻击的流程和顺序，造成管理员无法即时
图1元攻击为基础的入侵报警关联系统架构图
图2以自动建立攻击计划模板为基础的攻击关联分析及预测系统