本文提出了一種基于入侵行為模式的告警關聯方式。入侵行為模式是定義在時間
基礎上的一組謂詞公式，其實質是通過時間限制聯系在一起的入侵事件的集合。該方法在對大量告警進行關聯的同時，對虛警的處理尤為有效。
根據檢測引擎的實現技術，入侵檢測系統（IDS）可分為 “基于誤用”和“基于異?！?BR>兩類。由于每類IDS 都有其自身無法克服的缺陷，因此目前傾向于在網絡環境下安裝多個IDS，這些IDS 可能采用基于誤用的也可能采用基于異常的檢測方式。但大多數IDS 只是對簡單攻擊或異常進行檢測，它們除了產生大量的告警以外并沒有做任何更深入的工作。準確的告警和誤警常?；旌显谝黄?。在復雜攻擊的情況下告警之間可能存在某種聯系，而這些IDS 卻不能發現這些攻擊之間的邏輯關系，也不能發現隱藏在這些告警背后的攻擊策略，它們只是產生相對獨立的告警。為解決這個問題，通常需要對各IDS 的告警進行聚類和關聯。
與入侵檢測一樣，告警關聯的方法也分兩類：基于異常的告警關聯與基于誤用。前者的
典型代表是基于相似概率的告警關聯[1]，此種方法是基于告警之間的相似度進行告警關聯，雖然該方法在關聯某些告警信息時很有效，但相似度的衡量及取值比較困難，不能完全揭示相關告警之間的關系。后一種方法的代表是基于攻擊的前提和結果[2]，這種方法是從攻擊的角度分析攻擊的前提條件及結果，如果一個早期攻擊的結果滿足一個較晚攻擊的前提條件，就可以關聯這些攻擊的告警信息。這種方法有一定的靈活性，對發現隱藏在告警序列背后的攻擊策略非常有效，但面臨定義攻擊前提和結果的難題，且難于把握告警之間的時間限制，此外對虛警的處理很不理想。本文介紹了我們在分布式協同入侵檢測系統（DACIDS）[3]中使用的另一種基于誤用的告警關聯方法，該方法定義了一種基于時間的入侵行為模式[4]，通過對模式的識別進行告警關聯。這種方法有效解決了告警之間的時間限制的定義，而且在對大量告警進行關聯的同時，對減少告警數量以及對虛警的處理方面尤為有效。
本文第1 節對入侵行為模式給出定義，第2 節詳細描述了對入侵行為模式的匹配算法，
第3 節概述了DACIDS 中使用的告警信息關聯模型，最后給出了后續工作內容并加以小結。