1.基于網絡入侵檢測報警方法，其特征是基于如下步驟，IDS報警信息屬性包括時間戳、源IP、目的IP、端口號、攻擊類型和探測器ID，并確定以下一些基本元素；

1)節點、服務

指的是網絡中一個特殊的機器和設備，而服務指的是一個節點所提供的基于局域網或Internet的網絡服務，節點和服務對進入系統的連接來說是目的地；

2)節點價值和服務價值

節點價值是一個用來表示節點重要性的量化的一個值，其中1表示的是最低的重要性，而N表示最高的重要性；每一個服務都要賦予一個表示服務重要性的服務價值，其范圍也是從1到M；

3)節點安全度

節點的安全度標示的是節點的安全性；節點的安全度也是一個量化的值，它由節點安裝的操作系統及版本，應用程序，開放的服務、端口，使用的安全措施以及它在網絡中的位置等來確定；它的值在一個范圍之間，同節點價值一樣，設為1到P，其中1表示最低的安全度，P表示最高安全度；節點安全度是由安全管理系統或系統管理員針對每一個節點的情況進行評估得到的；

對報警信息的評價，確定評價出來的等級為10個：0.1，0.2，0.3，…，1，值越大其威脅程度越高，而管理員也可以考慮根據其實際需要，對報警威脅度的等級分類成諸如高度威脅、中度威脅、輕度威脅和無威脅；報警信息的威脅度包括兩個方面：報警可信度與報警危險度；

4)報警可信度

報警可信度指的是報警信息所報攻擊真實發生的可能性；首先，一般一種攻擊要達到目的只能針對某種系統或服務程序的漏洞，因此可以通過將攻擊所需的環境與目的地系統真實的環境進行對比來確定報警信息的可信度；系統的環境歸結到5個屬性：操作系統的類型與版本、硬件類型、服務及使用的程序和版本、網絡端口、應用；

根據攻擊特征的不同將攻擊分成掃描攻擊，拒絕服務攻擊，緩沖區溢出攻擊，基于Web代碼的攻擊和其它攻擊等幾種類型并分配不同的可信程度；

其次報警信息所報攻擊的相關攻擊信息也影響其可信程度，其中相關攻擊信息指系統中近段時間里是否存在和該攻擊相關的輔助攻擊；或類似的攻擊是否已多次發生過；相關攻擊信息對每一個報警需要建立一個強相關和弱相關攻擊的列表；

最后，目的地的節點安全度，也影響著報警信息可信度，安全度高的系統勢必會增加攻擊成功的難度；綜上所述，報警信息的可信度與目的地系統的環境、攻擊類型、相關攻擊信息以及目的地系統節點安全度有關；

5)報警危險度

報警危險度指的是報警信息所報攻擊如果真實發生時對系統的危險程度；對不同節點價值和服務價值的目的地發起同樣的攻擊，如果都成功的話，對系統造成的危害是不同的；同時，報警信息所報攻擊自身，由于攻擊目的和攻擊方式的不同，導致攻擊成功后對系統的影響，即危害程度也會不同，實際上一般的IDS也都有一個報警自身危險程度的評估；因此，報警危險度與報警目的地的節點價值、服務價值以及報警信息本身的危險度是直接相關的；

6)報警威脅度計算

由于報警威脅度采用多層模糊模型識別的方法進行報警威脅度評價；多層識別用于識別某個具體對象屬于何種類別，而模糊模型識別是在標準模型和待識別對象可能是模糊的情況下的識別，這與我們前面分析的報警威脅度評價原理是非常吻合的；報警威脅度的評價要先對報警可信度和報警危險度進行評價，報警可信度的評價還需要先對報警信息的環境匹配度進行評價，因此其算法還是多層傳遞的；具體如下：

設因素集為U＝{U₁，U₂}，其中U₁為報警可信度，U₂為報警危險度；

評判集為V＝{V₁，V₂，…，V_n}，其中從V₁到V_n表示從低到高報警威脅度的n個評價等級，本文中n＝10；而因素U₁和U₂又分別由以下因素決定：

U₁＝{u₁₁，u₁₂，u₁₃，u₁₄}，其中u₁₁、u₁₂、u₁₃、u₁₄分別指的是環境匹配度、攻擊類型可信度、相關攻擊情況、節點安全度諸因素；

U₂＝{u₂₁，u₂₂，u₂₃}，其中u₂₁、u₂₂、u₂₃分別指的是報警自身危險度、節點價值、服務價值；

最后u₁₁＝{w₁，w₂，w₃，w₄，w₅}，其中w₁、w₂、w₃、w₄、w₅分別指的是操作系統、硬件、服務、端口、應用諸因素；

6-1)、根據已知各環境因素的匹配度計算環境匹配度u₁₁；

先確定u₁₁的評判集p＝{0.1，0.2，…，1}，表示環境匹配的從低到高的10個等級，然后確定w₁、w₂、w₃、w₄、w₅對各個評判等級的標準匹配度，建立匹配度矩陣R＝{R_ij}；采用一種簡便方法，即設R_ij＝p_i，表示在評價等級是p_i時因素w_j的匹配度；而對操作系統因素的實際匹配情況，只確定三種，即匹配、不匹配和未知，匹配度取值分別為1、0和0.5；就能進行各因素實際匹配度和每一評判等級的標準匹配度進行貼近度計算來評判匹配等級；而由于各個因素的匹配情況對報警匹配情況影響的不同，因此在進行對比時還要設定各自的權值α₁，…，α₅，其中

貼近度的計算，使用Euclid貼近度來進行計算，即計算其中r＝(r₁，r₂，r₃，r₄，r₅)表示報警r的實際匹配度，計算出來δ(r，R_j)值最大的表示報警r的實際環境匹配度等級為j；

6-2)、使用和計算環境匹配度一樣的方法來逐級計算可信度和危險度以及最后的報警威脅度：可信度和危險度以及威脅度的計算都是先確定相應的評判集，然后建立各自的標準匹配度矩陣，實驗中其建立過程類似于環境匹配度矩陣；而報警的攻擊類型等因素的實際匹配度取值，定義如下：攻擊類型可信度的狀態分為高、中、低三種，取值分別為1、0.6、0.2，相關攻擊的狀態分別設為強相關、弱相關和無相關三種，取值分別為1，0.7和0.4，自身危險度按通常IDS的風險等級設為高、中、低三種狀態，取值分別為1、0.6和0.2；節點安全度、節點價值、服務價值的計算時的取值要乘上0.1，環境匹配度、可信度和危險度的取值為下層因素評判出來的等級；貼近度的計算依然使用Euclid貼近度來進行計算，最終計算出報警威脅度的等級。