入侵检测系统作为一种比较重要的安全防护技术被广泛部署于实际环境中,如Snort、Suricata、Snorby等各类IDS。但是,当前的IDS仍存在一些问题。在前入侵检测阶段,检测技术不够完善,致使存在漏报、误报等现象;在后入侵检测阶段,产生大量冗余的告警信息,一方面,有价值的警报被湮没在海量冗余的告警信息里;另一方面,很难快速区分判断出这些告警信息的重要程度。使得安全管理员无法充分的了解当前网络环境的安全状况以致于不能及时作出相应的安全响应策略。针对上述存在的问题,本文提出了一种告警信息量化评估方法,综合考虑目标主机或设备的重要性,攻击源的危害性以及攻击危害性三个方面,对这些告警信息进行量化评估以区分紧急的、危害性高的告警信息,使得安全管理员能够清晰直观的了解当前网络的安全状况。

• 单位
  四川大学