现有的入侵检测系统中存在虚假报警、报警量巨大、不相关报警多等问题，极大地限制了它的应用。因此，报警信息的关联是目前入侵检测领域一个重要的发展方向。在这些研究中，HU W M等[1]提出了一种基于AdaBoost算法通过机器学习进行报警的方法。GIACINTO G等[2]提出了一种基于多个分类系统的方法，降低了误报率并提高了检测率。TSANG C H等[3]提出了一种基于基因和模型规则的方法，取得了较好的检测率，并降低了误报率。SHON T等[4]提出了一种基于支持向量机以及遗传算法的混合异常检测算法。刘利军等[5]提出了一种基于二级决策进行报警过滤从而消除误报、滥报问题的方法，设计实现了一种基于报警缓冲池的报警优化过滤算法。肖云等[6]提出了一种基于粗糙集、支持向量机理论的过滤误报警的方法。穆成坡等[7]提出了一种基于模糊综合评判的方法来处理入侵检测系统的报警信息、关联报警事件，并引入有监督的确信度学习方法，通过确信度来对报警信息进行进一步的过滤。

    总体说来，现有绝大多数入侵检测关联模型或方法都是在所有的事件发生后再对所有的事件进行报警关联分析，相当于“事后诸葛亮”。另外，这些模型或算法难以判断或计算所面临的网络危险，因此实际应用中受到了一定的限制。目前，超过90％商业运营的入侵检测系统都是在Snort检测引擎的基础上进行二次开发而来。尽管Snort获得了巨大的成功，但作为通过攻击特征进行检测的入侵检测系统，Snort存在传统入侵检测系统的缺陷。
    目前，基于人工免疫AIS(Artificial Immune System)的网络安全技术具有多样性、自适应、鲁棒性等特点，并被认为是一条非常重要且有意义的研究方向[8]。参考文献[8]依据人体发烧时抗体浓度增加的原理，提出了一种基于免疫的网络安全危险检测模型。该方法能对网络系统所面临的攻击进行准确的实时危险评估，被证实了为网络安全风险在线检测提供了一种有效的新途径。基于人工免疫原理，本文提出一种基于Snort的入侵检测关联报警模型(A Snort-based Associated Intrusion Alarm model，SAIM)，理论分析和实验结果均表明，SAIM模型为网络入侵关联报警提供了一种有效的新途径。

    在主机实时危险计算过程中，先统计出每类攻击的总危险性，然后与对应的该类攻击的危险权重进行乘积和运算，据此分别计算出主机的分类攻击和主机整体危险性。
1.4 危险报警模型
    基于实时网络的&ldquo;危险&rdquo;报警模型依据2个条件进行报警，即网络实时危险与攻击强度。对主机中报警信号的产生，主要来自2个方面：对主机m，(1)主机的整体危险rm(t)大于&gamma;1(0<&gamma;1<1)，并且主机遭遇的所有的攻击(假设主机中包含了I类攻击)的攻击强度大于n；(2)主机遭遇的某类攻击的网络危险rm，t(t)大于&omega;1，i(0<&omega;1，i<1)，并且主机遭遇的该类攻击（第i类攻击）的攻击强度大于Ni。对于检测的一些报警信息，例如入侵者对所有端口进行的扫描探测活动，当网络危险达到一定数值时，模型就进行报警，SAIM将所有的报警信息关联起来，这有助于解决当前入侵检测系统模型中海量的报警信息关联的问题。
2 报警实验
    为证明SAIM能有效减少虚假警报、提高报警质量，采用1999年DARPA入侵检测系统测试数据集[9]对模型进行了测试。该数据集是麻省理工学院的林肯实验室在实际网络环境中进行攻击而产生的真实数据，用于评估入侵检测系统的性能。DARPA 1999年评测数据包括覆盖了Probe、DoS、R2L、U2R和Data等五大类攻击，是目前最为全面的攻击测试数据集。测试过程中使用的Snort规则库中有5 991条规则，采用第4周周五为试验数据。
    图1给出了Snort在检测过程中的报警数。其中总报警数3 496条，虚警2 814条(80.5%)，真实报警682条(19.5%)。采用SAIM模型，当主机总体实时危险报警阈值取值为0.3时，报警数共20个，虚警率为45%，检测结果表明了本文所提出的报警模型在减小虚假报警、合并同类无关报警、提高报警质量上是可行的。

    实验结果表明，SAIM模型能实时定量地计算出主机当前所面临攻击的类别、数量、强度及危险数值等；另外，模型根据检测的网络实时危险强度进行报警，有助于减小入侵检测的误报率和报警数量，从而提高报警质量。
    与同类报警相关研究[1-7]相比，本文所提出的报警方法不需要先验报警知识训练，更不是事后根据所有的报警记录来进行分析，同时可查看主机和网络当前所面临的攻击类别、数量、强度及具体的网络实时危险数值数据，这有助于网络安全管理员掌握实时的网络安全态势，因此本文所提出的方法具有一定的实用价值。
参考文献
[1] HU W M，HU W，MAYBANK S.AdaBoost-based algorithm for network intrusion detection[J].IEEE Transactions on Systems Man and Cybernetics Part B-Cybernetics，2008，38(2)：577-583.
[2] GIORGIO G，ROBERTO P，MAURO D，et al.Intrusion detection in computer networks by a modular ensemble of  one-class classifiers[J].Information Fusion，2008，9(1)：69-82.
[3] TSANG C H，KWONG S，WANG H L.Genetic-fuzzy rule  mining approach and evaluation of feature selection  techniques for anomaly intrusion detection[J].Pattern Recognition，2007，40(9)：2373-2391.
[4] SHON T，MOON J.A hybrid machine learning approach to network anomaly detection[J].Information Sciences，2007，177(18)：3799-3821.
[5] 刘利军，怀进鹏.一种IDS报警过滤算法及实现架构研究[J].高技术通讯，2005，15(6)：1-4.
[6] 肖云，韩崇昭，郑庆华，等.基于粗糙集-支持向量机理论的过滤误报警方法[J].电子与信息学报，2007，29(12)：3011-3014.
[7] 穆成坡，黄厚宽，田盛丰，等.基于模糊综合评判的入侵检测报警信息处理[J].计算机研究与发展，2005，42(10)：1679-1685.
[8] LI T.An immunity based network security risk estimation[J].Science in China Series F-Information Sciences，2005，48(5)：557-578.
[9] HAINES J W，LPPMANN R P，FRIED D J，et al.DARPA intrusion detection system evaluation：design and procedures[R].Lexington：MIT Lincoln Laboratory，1999.