公开(公告)号：CN1472916A

公开(公告)日：2004-02-04

申请号：CN03137444.1

申请日：2003-06-24

Applicant: 北京邮电大学

Inventor： 吕慧勤 ,  杨义先

IPC: H04L9/32 ,  H04L9/00 ,  H04L12/26 ,  H04L12/24 ,  G06F17/00

Abstract: 本发明为大规模分布式入侵检测系统实时告警融合机制。在大规模高速网络中，入侵检测系统一般采用分层的分布式结构，通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。在一个大型网络中可以配置多个入侵检测系统，每个入侵检测系统负责网络的一部分，还可以配置一些如防火墙等其它安全部件。为了获得入侵的全局视图，要求这些安全部件能够协同工作。本发明提出一种大规模分布式网络情况下的入侵检测告警实时融合机制(如附图所示)，通过“聚类—合并—关联”三个步骤实现对告警的融合，目标是产生大规模环境下的告警，同时提高单个入侵检测的检测率，降低它们的虚警率，最终为安全管理人员提供简练精确的告警。

公开(公告)号：CN100414868C

公开(公告)日：2008-08-27

申请号：CN03137444.1

申请日：2003-06-24

Applicant: 北京邮电大学

Inventor： 江为强 ,  吕慧勤 ,  杨义先

IPC: H04L9/32 ,  H04L9/00 ,  H04L12/26 ,  H04L12/24 ,  G06F17/00

Abstract: 本发明为大规模分布式入侵检测系统的实时数据融合方法。在大规模高速网络中，入侵检测系统一般采用分层的分布式结构，通过分散采集、分布处理和集中管理，满足了大规模高速网络的需求。在一个大型网络中可以配置多个入侵检测系统，每个入侵检测系统负责网络的一部分，还可以配置一些如防火墙等其它安全部件。为了获得入侵的全局视图，要求这些安全部件能够协同工作。本发明提出一种大规模分布式网络情况下的入侵检测告警实时融合方法(如附图所示)，通过“聚类—合并—关联”三个步骤实现对告警的融合，目标是产生大规模环境下的告警，同时提高单个入侵检测的检测率，降低它们的虚警率，最终为安全管理人员提供简练精确的告警。