-
题名TCP有限状态机和协议解析在伪警报去除中的应用
被引量:1
- 1
-
-
作者
帅春燕
江建慧
欧阳鑫
-
机构
同济大学电子与信息工程学院
昆明理工大学电力工程学院
昆明理工大学信息与自动化学院
-
出处
《计算机应用》
CSCD
北大核心
2011年第5期1271-1275,1279,共6页
-
基金
国家863计划项目(2007AA01Z142)
上海市科学技术委员会信息技术领域重点科技攻关计划项目(04DZ1503206DZ15003)
-
文摘
面对入侵检测系统(IDS)产生的海量警报,提出了一种基于协议解析和传输控制协议(TCP)有限状态机的伪警报去除方法。对于无连接的请求/应答协议,同时分析请求数据包的攻击特征和应答数据包的返回状态码来去除伪警报;对于TCP,在协议分析的基础上建立TCP数据包的有限状态机的模型,通过判断系列数据包是否为同一TCP连接、是否包含攻击序列来去除伪警报。在DARPA2000的数据集上的实验结果表明,此方法的误警率平均降低了59.47%,对TCP和请求/应答协议的警报的识别率达到76.67%。该方法简单又有效,依赖IDS的攻击特征库,可以插件的形式在线实现。
-
关键词
入侵检测
请求/应答协议
传输控制协议
有限状态机
协议解析
伪警报
-
Keywords
intrusion detection
request/response protocol
Transfer Control protocol(TCP)
Finite State Machine(FSM)
protocol parse
false alert
-
分类号
TP309.2
[自动化与计算机技术—计算机系统结构]
-
