1、问题和解决。
一旦IDS检测任何可疑或恶意的活动,它就会自动报警。不幸的是,触发了警报通常有数量庞大的假警报,片面性和误报警的入侵检测系统(IDS)关键性能参数。在实践中,智能决策支持系统已经观测到每天成千上万的警报,其中大多数都是错误所引发的正常活动。这使它极其困难地分析相关攻击,进而正确地识别警报。误报警的风险高于片面性的风险。
通过上述的有关I2D2RS的描述,“logsurfer”是该系统的开始按钮。当登录失败发生时,“logsurfer”就会启动系统部件立即处理。整个处理需要一定的时间。在实践中,会有多个进行同步攻击。不幸的是,当两个攻击之间的时间间隔是非常短,“logsurfer“将不会启动系统处理第二次的攻击,因而会虚警。图5是一个两种攻击同时攻击,然而系统只能处理一个,错过另一个。
图5 syslog-two的内容
为了解决这一虚警I2D2RS,我们利用一个预处理模块去收集之前的错误登录信息的数据。在本文中,提出了一种新颖的文件
——new-configf(图6)。此图显示出两个启动I2D2RS匹配的规则,启动过程平行却不连贯。当关键字\”出现在securelog文
件,“logsurfer”就会启动start.pl(程序下面会有介绍),它是一个保存失败登录信息的到临时数据库文件——log.txt。
应用bp神经网络组合分类法的时间间隔IIDDRS
图6 new-configf的内容
2、实验结果。
在我们的试验中,有一个虚拟局域网构成的主机与Linux操作系统的三个核心11。一是I2D2RS的主机有两个正常的用户(user1和),其余的是攻击者主机,每个主机有两个终端。实验是4个终端,同时进行攻击两个用户。两种方法的结果作了比较,显示如表1。在“Attacks”是袭击的数量,“Alarms”是警报的数量,“host1和host2”是I2D2RS的用户,“Exp-old”是旧的处理方式的结果,”Exp-new”是预处理模块的方法的结果。
结果表明,在系统中对攻击现象,改进后的系统的预处理方法较完美地消除了虚报的现象。
HONGMEI KAI, XIAOJIE LIU, YAFEI LIU, LIN ZHOU
表1 两种实验
3、结论。
先前的I2D2RS有效地探测攻击(如R2L检测和U2R等)。然而, 处理同步多点攻击的能力是弱化的。在本文中,一个预处理模块用来收集失败的登陆信息并将它们保存在一个临时的数据库文件中。这所提出的方法改变信息的采集和数据处理得方法,从连续处理到并行处理。从实验的结果,这一过程的预处理方法可有效地消除虚警。建议未来的研究方向能增加攻击种类的数量和提高评价系统的精确度。