1.基于網(wǎng)絡(luò)入侵檢測報警方法，其特征是基于如下步驟，IDS報警信息屬性包括時間戳、源IP、目的IP、端口號、攻擊類型和探測器ID，并確定以下一些基本元素；

1)節(jié)點、服務(wù)

指的是網(wǎng)絡(luò)中一個特殊的機器和設(shè)備，而服務(wù)指的是一個節(jié)點所提供的基于局域網(wǎng)或Internet的網(wǎng)絡(luò)服務(wù)，節(jié)點和服務(wù)對進入系統(tǒng)的連接來說是目的地；

2)節(jié)點價值和服務(wù)價值

節(jié)點價值是一個用來表示節(jié)點重要性的量化的一個值，其中1表示的是最低的重要性，而N表示最高的重要性；每一個服務(wù)都要賦予一個表示服務(wù)重要性的服務(wù)價值，其范圍也是從1到M；

3)節(jié)點安全度

節(jié)點的安全度標示的是節(jié)點的安全性；節(jié)點的安全度也是一個量化的值，它由節(jié)點安裝的操作系統(tǒng)及版本，應(yīng)用程序，開放的服務(wù)、端口，使用的安全措施以及它在網(wǎng)絡(luò)中的位置等來確定；它的值在一個范圍之間，同節(jié)點價值一樣，設(shè)為1到P，其中1表示最低的安全度，P表示最高安全度；節(jié)點安全度是由安全管理系統(tǒng)或系統(tǒng)管理員針對每一個節(jié)點的情況進行評估得到的；

對報警信息的評價，確定評價出來的等級為10個：0.1，0.2，0.3，…，1，值越大其威脅程度越高，而管理員也可以考慮根據(jù)其實際需要，對報警威脅度的等級分類成諸如高度威脅、中度威脅、輕度威脅和無威脅；報警信息的威脅度包括兩個方面：報警可信度與報警危險度；

4)報警可信度

報警可信度指的是報警信息所報攻擊真實發(fā)生的可能性；首先，一般一種攻擊要達到目的只能針對某種系統(tǒng)或服務(wù)程序的漏洞，因此可以通過將攻擊所需的環(huán)境與目的地系統(tǒng)真實的環(huán)境進行對比來確定報警信息的可信度；系統(tǒng)的環(huán)境歸結(jié)到5個屬性：操作系統(tǒng)的類型與版本、硬件類型、服務(wù)及使用的程序和版本、網(wǎng)絡(luò)端口、應(yīng)用；

根據(jù)攻擊特征的不同將攻擊分成掃描攻擊，拒絕服務(wù)攻擊，緩沖區(qū)溢出攻擊，基于Web代碼的攻擊和其它攻擊等幾種類型并分配不同的可信程度；

其次報警信息所報攻擊的相關(guān)攻擊信息也影響其可信程度，其中相關(guān)攻擊信息指系統(tǒng)中近段時間里是否存在和該攻擊相關(guān)的輔助攻擊；或類似的攻擊是否已多次發(fā)生過；相關(guān)攻擊信息對每一個報警需要建立一個強相關(guān)和弱相關(guān)攻擊的列表；

最后，目的地的節(jié)點安全度，也影響著報警信息可信度，安全度高的系統(tǒng)勢必會增加攻擊成功的難度；綜上所述，報警信息的可信度與目的地系統(tǒng)的環(huán)境、攻擊類型、相關(guān)攻擊信息以及目的地系統(tǒng)節(jié)點安全度有關(guān)；

5)報警危險度

報警危險度指的是報警信息所報攻擊如果真實發(fā)生時對系統(tǒng)的危險程度；對不同節(jié)點價值和服務(wù)價值的目的地發(fā)起同樣的攻擊，如果都成功的話，對系統(tǒng)造成的危害是不同的；同時，報警信息所報攻擊自身，由于攻擊目的和攻擊方式的不同，導(dǎo)致攻擊成功后對系統(tǒng)的影響，即危害程度也會不同，實際上一般的IDS也都有一個報警自身危險程度的評估；因此，報警危險度與報警目的地的節(jié)點價值、服務(wù)價值以及報警信息本身的危險度是直接相關(guān)的；

6)報警威脅度計算

由于報警威脅度采用多層模糊模型識別的方法進行報警威脅度評價；多層識別用于識別某個具體對象屬于何種類別，而模糊模型識別是在標準模型和待識別對象可能是模糊的情況下的識別，這與我們前面分析的報警威脅度評價原理是非常吻合的；報警威脅度的評價要先對報警可信度和報警危險度進行評價，報警可信度的評價還需要先對報警信息的環(huán)境匹配度進行評價，因此其算法還是多層傳遞的；具體如下：

設(shè)因素集為U＝{U₁，U₂}，其中U₁為報警可信度，U₂為報警危險度；

評判集為V＝{V₁，V₂，…，V_n}，其中從V₁到V_n表示從低到高報警威脅度的n個評價等級，本文中n＝10；而因素U₁和U₂又分別由以下因素決定：

U₁＝{u₁₁，u₁₂，u₁₃，u₁₄}，其中u₁₁、u₁₂、u₁₃、u₁₄分別指的是環(huán)境匹配度、攻擊類型可信度、相關(guān)攻擊情況、節(jié)點安全度諸因素；

U₂＝{u₂₁，u₂₂，u₂₃}，其中u₂₁、u₂₂、u₂₃分別指的是報警自身危險度、節(jié)點價值、服務(wù)價值；

最后u₁₁＝{w₁，w₂，w₃，w₄，w₅}，其中w₁、w₂、w₃、w₄、w₅分別指的是操作系統(tǒng)、硬件、服務(wù)、端口、應(yīng)用諸因素；

6-1)、根據(jù)已知各環(huán)境因素的匹配度計算環(huán)境匹配度u₁₁；

先確定u₁₁的評判集p＝{0.1，0.2，…，1}，表示環(huán)境匹配的從低到高的10個等級，然后確定w₁、w₂、w₃、w₄、w₅對各個評判等級的標準匹配度，建立匹配度矩陣R＝{R_ij}；采用一種簡便方法，即設(shè)R_ij＝p_i，表示在評價等級是p_i時因素w_j的匹配度；而對操作系統(tǒng)因素的實際匹配情況，只確定三種，即匹配、不匹配和未知，匹配度取值分別為1、0和0.5；就能進行各因素實際匹配度和每一評判等級的標準匹配度進行貼近度計算來評判匹配等級；而由于各個因素的匹配情況對報警匹配情況影響的不同，因此在進行對比時還要設(shè)定各自的權(quán)值α₁，…，α₅，其中

貼近度的計算，使用Euclid貼近度來進行計算，即計算其中r＝(r₁，r₂，r₃，r₄，r₅)表示報警r的實際匹配度，計算出來δ(r，R_j)值最大的表示報警r的實際環(huán)境匹配度等級為j；

6-2)、使用和計算環(huán)境匹配度一樣的方法來逐級計算可信度和危險度以及最后的報警威脅度：可信度和危險度以及威脅度的計算都是先確定相應(yīng)的評判集，然后建立各自的標準匹配度矩陣，實驗中其建立過程類似于環(huán)境匹配度矩陣；而報警的攻擊類型等因素的實際匹配度取值，定義如下：攻擊類型可信度的狀態(tài)分為高、中、低三種，取值分別為1、0.6、0.2，相關(guān)攻擊的狀態(tài)分別設(shè)為強相關(guān)、弱相關(guān)和無相關(guān)三種，取值分別為1，0.7和0.4，自身危險度按通常IDS的風險等級設(shè)為高、中、低三種狀態(tài)，取值分別為1、0.6和0.2；節(jié)點安全度、節(jié)點價值、服務(wù)價值的計算時的取值要乘上0.1，環(huán)境匹配度、可信度和危險度的取值為下層因素評判出來的等級；貼近度的計算依然使用Euclid貼近度來進行計算，最終計算出報警威脅度的等級。