提出一种带有告警日志分析的蜜网(honeynet)架构设计和告警日志分析模型.将网络入侵检测和主机入侵检测的告警信息相结合,利用网络信息和告警相似度函数进行告警过滤和融合,采用改进的apriori算法挖掘告警的关联规则,并通过匹配规则形成最终的攻击报告.实验表明,该方法能有效减少honeynet中冗余的告警,分析出honeynet系统遭受攻击的关联关系,并展现攻击场景.

• 单位
  北京邮电大学; 网络与交换技术国家重点实验室