《表1 原始报警及聚合后综合报警数量统计》
实验中5个阶段的snort原始报警数量与告警聚合得到综合报警统计如表1所示。从表1中可以看出,对原始报警预处理及聚合后最终生成的综合报警数大幅减少,从而减少了关联和更新攻击场景的计算量。第5阶段由于DDo S攻击利用伪造的IP对外网发起攻击,数据包的源和目的IP都不在snort监控的网段,因此没有产生报警,而且在第3阶段获取root权限后安装了DDo S攻击工具,攻击者已经取得了对该主机的控制权,且DDo S攻击并不是本文研究的攻击模式。
图表编号 | XD0014994400 严禁用于非法目的 |
---|---|
绘制时间 | 2018.04.05 |
作者 | 吴建台、乔翌峰、朱赛凡、刘光杰 |
绘制单位 | 南京理工大学自动化学院、南京信息技术研究院、南京信息技术研究院、南京理工大学自动化学院 |
更多格式 | 高清、无水印(增值服务) |