Design and implementation of intrusion detection alarm aggregation and correlation system

As a means of active network defense, intrusion detection system can identify intruders, identify intrusion behaviors, detect and monitor successful intrusions, and respond to intrusions. However, in the actual network environment, when analyzing the alarm information generated by the deployed intrusion detection system, the following problems were found: ① Repeated alarms, IDS sometimes generates dozens of alarms for the same attack target within a few minutes or even tens of seconds, and a large number of repeated events make the alarm information unreadable; ② False alarms, IDS will generate a lot of such false alarm information, such as in the Linux operating system network, if it is attacked by the \"Red Code\" virus, it will not affect the system, but IDS will record the attack and generate false alarms; ③ Isolated alarms, when the attacker attacks, it is often through a series of attack behaviors to achieve the ultimate goal. IDS only generates an alarm for each attack, lacking the analysis of the correlation between the attack sequence. Due to the existence of a large number of repeated alarms and false alarms, the visibility of real alarms is greatly reduced, making it difficult for administrators to accurately identify real attacks and threat alarms from complex events. In addition, due to the lack of analysis of sequence attacks by the detection engine, it is difficult to reconstruct the entire attack scenario. When suffering from a major sequence attack, it is difficult for us to obtain evidence from the attacker and prevent similar attacks again, and it is even more difficult to update the system vulnerabilities of the protected area in a timely manner. Therefore, in order to solve the above problems, it is necessary to conduct secondary analysis and processing of the original alarm information, that is, to aggregate and associate the original alarms according to the attribute relationship between the original alarms. This paper designs and implements an efficient alarm information aggregation and association system for the fusion of alarm information. Experiments show that the system effectively reduces the number of alarms, reduces the false alarm rate, and achieves good practical application effects.