·1428· 北京科技大学学报 第33卷 1.0 参考文献 [1]Yu Z W,Tsai JJ P,Weigert T.An adaptive automatically tuning 0.8 intrusion detection system.ACM Trans Auton Adapt Syst,2008,3 0h (3):10 Xu LS.Extending equation-ased congestion control to high-peed 三04 and long-distance networks.Comput Netcorks,2007,51 (7): +基于节点关联 1847 0.2 ·一无节点关联 B]Hu H P,Zhang Y,Chen HT,et al.The study of large scale net- works intrusion detection and waming system.J Natl Unit Def Technol,2003,25(1):21 100 200300400500 (胡华平，张怡，陈海涛，等.面向大规模网络的入侵检测与 查询周期/次 预警系统研究.国防科技大学学报，2003,25(1)：21) 图2A类节点30%、B类节点70%时的检测准确率 [4]Bao X H,Dai Y X,Feng P H,et al.A detection and forecast al- Fig.2 Detection accuracy with 30%A and 70%B gorithm for multi-step attack based on intrusion intention.Sof- eae,2005,16(12):2132 1.0r (鲍旭华，戴英侠，冯萍慧，等.基于入侵意图的复合攻击检 测和预测算法.软件学报，2005,16(12)：2132) 08 [5]Yan Q.Yu J P,Xie WX.Creditability problems in intrusion de- tection systems.J Comput Res Der,2003,40(8):1203 06 (闫巧，喻建平，谢维信.入侵检测系统的可信问题.计算机 研究与发展，2003,40(8)：1203) 04 型 [6] Mu C P,Huang H K,Tian S F.Survey of intrusion-detection alert 基于节点关联 02 ·一无节点关联 aggregation and correlation techniques.Comput Res Dev,2006, 43(1):1 (穆成坡，黄厚宽，田盛丰.入侵检测系统报警信息聚合与关 100 200 300 400500 联技术研究综述.计算机研究与发展，2006,43(1)：1) 查询周阴/次 [] Mu C P,Huang H K,Tian S F,et al.Intrusion-detection alerts 图3A类节点50%、B类节点50%时的检测准确率 processing based on fuzzy comprehensive evaluation.J Comput Res Fig.3 Detection accuracy with 50%A and 50%B De,2005,42(10):1679 (穆成坡，黄厚宽，田盛丰，等.基于模糊综合评判的入侵检 1.0 测报警信息处理.计算机研究与发展，2005,42(10)：1679) [8]Duan H X,Yu X L,Wang L J.Algorithm of alert correlation 0.8 based on address correlation graph in distributed intrusion detec- tion system.J Dalian Univ Technol,2005,45(Suppl):126 16 (段海新，于雪丽，王兰佳.基于地址关联图的分布式DS报 警关联算法.大连理工大学学报，2005,45（增刊）：S126) ⑨) Zhang Y D,Zeng Q K,Wang J D.Studies of network coordinative +基于节点关联 02 ·无节点关联 forensics computing.Chin J Comput,2010,33(3):504 (张有东，曾庆凯，王建东网络协同取证计算研究。计算机 学报，2010,33(3)：504) 100 200 300 400 500 [10]Dain O M,Cuningham R K.Building scenarios from a heteroge- 查询周期/次 neous alert stream//Proceedings of the 2001 IEEE Workshop on 图4A类节点70%、B类节点30%时的检测准确率 Information Assurance and Security.West Point,2001:231 Fig.4 Detection accuracy with 70%A and 30%B [11]Ning P,Xu D B,Healey CC,et al.Building attack scenarios through integration of complementary alert correlation methods// 4结论 Proceedings of the 11th Annual Netork and Distributed System Security Symposium (NDSS).San Diego,2004:97 本文对入侵报警信息进行了融合，提出了一种 [12]Valdes A,Skinner K.Probabilistic alert correlation//The 4th 基于节点关联的报警置信度计算方法，包括报警关 Int'I Symposium on Recent Adances in Intrusion Detection (RAD2001).Daris,2001 联和信任关联，并提出了相应算法，并通过仿真实验 [13]Bao X H,Dai Y X,Lian Y F,et al.Correlation determine algo- 证明了该算法的有效性.下一步将研究网络中存在 rithm for implied restriction.J Comput Res Dev,2007,44(12): 更复杂恶意节点时的报警信息融合 2028北 京 科 技 大 学 学 报 第 33 卷 图 2 A 类节点 30% 、B 类节点 70% 时的检测准确率 Fig． 2 Detection accuracy with 30% A and 70% B 图 3 A 类节点 50% 、B 类节点 50% 时的检测准确率 Fig． 3 Detection accuracy with 50% A and 50% B 图 4 A 类节点 70% 、B 类节点 30% 时的检测准确率 Fig． 4 Detection accuracy with 70% A and 30% B 4 结论 本文对入侵报警信息进行了融合，提出了一种 基于节点关联的报警置信度计算方法，包括报警关 联和信任关联，并提出了相应算法，并通过仿真实验 证明了该算法的有效性． 下一步将研究网络中存在 更复杂恶意节点时的报警信息融合． 参 考 文 献 ［1］ Yu Z W，Tsai J J P，Weigert T． An adaptive automatically tuning intrusion detection system． ACM Trans Auton Adapt Syst，2008，3 ( 3) : 10 ［2］ Xu L S． Extending equation-based congestion control to high-speed and long-distance networks． Comput Networks，2007，51 ( 7 ) : 1847 ［3］ Hu H P，Zhang Y，Chen H T，et al． The study of large scale net￾works intrusion detection and warning system． J Natl Univ Def Technol，2003，25( 1) : 21 ( 胡华平，张怡，陈海涛，等． 面向大规模网络的入侵检测与 预警系统研究． 国防科技大学学报，2003，25( 1) : 21) ［4］ Bao X H，Dai Y X，Feng P H，et al． A detection and forecast al￾gorithm for multi-step attack based on intrusion intention． J Soft￾ware，2005，16( 12) : 2132 ( 鲍旭华，戴英侠，冯萍慧，等． 基于入侵意图的复合攻击检 测和预测算法． 软件学报，2005，16( 12) : 2132) ［5］ Yan Q，Yu J P，Xie W X． Creditability problems in intrusion de￾tection systems． J Comput Res Dev，2003，40( 8) : 1203 ( 闫巧，喻建平，谢维信． 入侵检测系统的可信问题． 计算机 研究与发展，2003，40( 8) : 1203) ［6］ Mu C P，Huang H K，Tian S F． Survey of intrusion-detection alert aggregation and correlation techniques． J Comput Res Dev，2006， 43( 1) : 1 ( 穆成坡，黄厚宽，田盛丰． 入侵检测系统报警信息聚合与关 联技术研究综述． 计算机研究与发展，2006，43( 1) : 1) ［7］ Mu C P，Huang H K，Tian S F，et al． Intrusion-detection alerts processing based on fuzzy comprehensive evaluation． J Comput Res Dev，2005，42( 10) : 1679 ( 穆成坡，黄厚宽，田盛丰，等． 基于模糊综合评判的入侵检 测报警信息处理． 计算机研究与发展，2005，42( 10) : 1679) ［8］ Duan H X，Yu X L，Wang L J． Algorithm of alert correlation based on address correlation graph in distributed intrusion detec￾tion system． J Dalian Univ Technol，2005，45( Suppl) : 126 ( 段海新，于雪丽，王兰佳． 基于地址关联图的分布式 IDS 报 警关联算法． 大连理工大学学报，2005，45( 增刊) : S126) ［9］ Zhang Y D，Zeng Q K，Wang J D． Studies of network coordinative forensics computing． Chin J Comput，2010，33( 3) : 504 ( 张有东，曾庆凯，王建东． 网络协同取证计算研究． 计算机 学报，2010，33( 3) : 504) ［10］ Dain O M，Cuningham R K． Building scenarios from a heteroge￾neous alert stream/ /Proceedings of the 2001 IEEE Workshop on Information Assurance and Security． West Point，2001: 231 ［11］ Ning P，Xu D B，Healey C G，et al． Building attack scenarios through integration of complementary alert correlation methods/ / Proceedings of the 11th Annual Network and Distributed System Security Symposium ( NDSS) ． San Diego，2004: 97 ［12］ Valdes A，Skinner K． Probabilistic alert correlation / /The 4th Int’l Symposium on Recent Advances in Intrusion Detection ( RAID2001) ． Daris，2001 ［13］ Bao X H，Dai Y X，Lian Y F，et al． Correlation determine algo￾rithm for implied restriction． J Comput Res Dev，2007，44( 12) : 2028 ·1428·