论文部分内容阅读
针对目前入侵检测系统存在的海量重复告警、误报率偏高、告警质量低下等问题,提出一种基于信息熵的IDS告警预处理方法,用于减少误告警,聚合相似告警,生成代表单步攻击意图的超告警。首先,对IDS告警进行特征提取,用告警密度、告警周期值、源IP对应的目的IP数与攻击源威胁度这4个特征的信息熵融合结果表示一条告警所具有的特征信息量。通过与误告警的特征向量进行互雷尼信息熵的计算,从而识别出误告,并且去除误告。然后对误告去除后的告警按照IP对应关系,划分为2类:一种源IP对应一种目的IP的告警以及一种源IP对应多种目的