公开(公告)号：CN101227331A

公开(公告)日：2008-07-23

申请号：CN200810046788.4

申请日：2008-01-25

Applicant: 华中科技大学

Inventor： 李之棠 ,  李冬 ,  高翠霞 ,  张爱芳 ,  马杰 ,  罗金刚 ,  张威

IPC: H04L12/24

Abstract: 本发明提供一种减少网络入侵检测系统误告警方法，该方法首先收集特征产生告警构成样本集合A，从样本集合A中提取符合特征产生告警比例阈值α的特征和符合IP产生告警阈值β的IP，再根据提取的特征和IP的二元组合构造告警时间序列，采用傅立叶分析方法对告警时间序列进行周期分析，并对得到的周期作假设检，然后根据存在周期的告警时间序列制定去除规则，从样本集合A中去除与规则匹配的特征产生告警，最后对去除后剩余的告警进行聚合分析产生超级告警。本发明根据网络流量的特性去除背景流量产生的大量冗余告警，再根据告警产生的模式对去除后的告警进行实时聚合分析，从而降低告警的数量，及时的发现安全事件。

公开(公告)号：CN101227331B

公开(公告)日：2010-06-09

申请号：CN200810046788.4

申请日：2008-01-25

Applicant: 华中科技大学

Inventor： 李之棠 ,  李冬 ,  高翠霞 ,  张爱芳 ,  马杰 ,  罗金刚 ,  张威

IPC: H04L12/24

Abstract: 本发明提供一种减少网络入侵检测系统误告警方法，该方法首先收集特征产生告警构成样本集合A，从样本集合A中提取符合特征产生告警比例阈值α的特征和符合IP产生告警阈值β的IP，再根据提取的特征和IP的二元组合构造告警时间序列，采用傅立叶分析方法对告警时间序列进行周期分析，并对得到的周期作假设检，然后根据存在周期的告警时间序列制定去除规则，从样本集合A中去除与规则匹配的特征产生告警，最后对去除后剩余的告警进行聚合分析产生超级告警。本发明根据网络流量的特性去除背景流量产生的大量冗余告警，再根据告警产生的模式对去除后的告警进行实时聚合分析，从而降低告警的数量，及时的发现安全事件。

公开(公告)号：CN101242278A

公开(公告)日：2008-08-13

申请号：CN200810046913.1

申请日：2008-02-18

Applicant: 华中科技大学

Inventor： 王莉 ,  李之棠 ,  陈琳 ,  李伟明 ,  朱晓林 ,  汪洋

IPC: H04L9/36 ,  H04L9/10

Abstract: 本发明提供一种网络多步攻击意图在线识别方法，该方法提取收到的安全事件告警信息的特征，根据该特征和攻击行为发生序列模式集进行模式匹配，若匹配成功，计算符合模式匹配的前后安全事件告警信息的关联度，根据关联度与关联度阈值的比较结果记录安全事件告警信息之间的网络多步攻击关系。本发明通过关联度的计算过滤掉模式匹配但不存在关联关系的安全事件，通过实时上报匹配过程和结果实现了实时的在线检测。