《表1 原始报警及聚合后综合报警数量统计》

  提示：宽带有限、当前游客访问压缩模式

本系列图表出处文件名：随高清版一同展现

《基于HMM的网络安全态势评估与预测方法》

1. 获取 高清版本忘记账户？点击这里登录

1. 下载图表忘记账户？点击这里登录

实验中5个阶段的snort原始报警数量与告警聚合得到综合报警统计如表1所示。从表1中可以看出，对原始报警预处理及聚合后最终生成的综合报警数大幅减少，从而减少了关联和更新攻击场景的计算量。第5阶段由于DDo S攻击利用伪造的IP对外网发起攻击，数据包的源和目的IP都不在snort监控的网段，因此没有产生报警，而且在第3阶段获取root权限后安装了DDo S攻击工具，攻击者已经取得了对该主机的控制权，且DDo S攻击并不是本文研究的攻击模式。