公开(公告)号：CN101227331A

公开(公告)日：2008-07-23

申请号：CN200810046788.4

申请日：2008-01-25

Applicant: 华中科技大学

Inventor： 李之棠 ,  李冬 ,  高翠霞 ,  张爱芳 ,  马杰 ,  罗金刚 ,  张威

IPC: H04L12/24

Abstract: 本发明提供一种减少网络入侵检测系统误告警方法，该方法首先收集特征产生告警构成样本集合A，从样本集合A中提取符合特征产生告警比例阈值α的特征和符合IP产生告警阈值β的IP，再根据提取的特征和IP的二元组合构造告警时间序列，采用傅立叶分析方法对告警时间序列进行周期分析，并对得到的周期作假设检，然后根据存在周期的告警时间序列制定去除规则，从样本集合A中去除与规则匹配的特征产生告警，最后对去除后剩余的告警进行聚合分析产生超级告警。本发明根据网络流量的特性去除背景流量产生的大量冗余告警，再根据告警产生的模式对去除后的告警进行实时聚合分析，从而降低告警的数量，及时的发现安全事件。

公开(公告)号：CN101227331B

公开(公告)日：2010-06-09

申请号：CN200810046788.4

申请日：2008-01-25

Applicant: 华中科技大学

Inventor： 李之棠 ,  李冬 ,  高翠霞 ,  张爱芳 ,  马杰 ,  罗金刚 ,  张威

IPC: H04L12/24

Abstract: 本发明提供一种减少网络入侵检测系统误告警方法，该方法首先收集特征产生告警构成样本集合A，从样本集合A中提取符合特征产生告警比例阈值α的特征和符合IP产生告警阈值β的IP，再根据提取的特征和IP的二元组合构造告警时间序列，采用傅立叶分析方法对告警时间序列进行周期分析，并对得到的周期作假设检，然后根据存在周期的告警时间序列制定去除规则，从样本集合A中去除与规则匹配的特征产生告警，最后对去除后剩余的告警进行聚合分析产生超级告警。本发明根据网络流量的特性去除背景流量产生的大量冗余告警，再根据告警产生的模式对去除后的告警进行实时聚合分析，从而降低告警的数量，及时的发现安全事件。