入侵告警信息聚合與關聯技術綜述

李祉岐 黃金壘 王義功 胡 浩* 劉玉嶺

1(北京國網思極網安科技有限公司 北京 100071) 2(信息工程大學 河南 鄭州 450001) 3(中國科學院軟件研究所可信計算與信息保障實驗室 北京 100190) 4(中國科學院大學網絡空間安全學院 北京 100190)

0 引 言

入侵檢測作為網絡安全的重要支撐技術已廣泛部署應用，但仍存在眾多不足[1]：(1) 入侵檢測系統IDS產生大量重復的告警(又稱報警)，分析和處理成本較高；(2) 漏告警和誤告警嚴重；(3) 告警間相互孤立且層次較低，反映了單步攻擊動作，無法展現攻擊滲透過程，難以刻畫攻擊的真實意圖。告警數據處理的質量嚴重影響IDS的實用性，給管理員分析和管理這些告警信息帶來了很大的困難，并直接影響IDS在實際應用中的有效性。

告警信息處理可以分為：告警聚合(alert aggregation)和告警關聯(alert correlation)[2]，利用以上兩個步驟可以實現下列目標[3]：(1) 減少或消除冗余的告警，利用告警聚合降低冗余告警數量；(2) 減小漏報率，通過聯合分析不同IDS產生的告警，可以降低漏報率；(3) 降低誤報率，關聯屬于同一攻擊場景的告警事件，降低隨機或獨立事件產生的誤告警；(4) 重建攻擊場景，將屬于同一攻擊場景的告警事件關聯分析，識別入侵意圖和手段，把握入侵過程的全貌，增強對攻擊行為的理解，為風險評估[4]、入侵響應[5]、防御決策[6]等奠定基礎；(5) 增加IDS檢測范圍，在異構復雜網絡環境中，單個IDS的檢測范圍和能力受限，通過部署多個IDS，匯總和關聯不同IDS生成的告警信息，擴大安全防御和應急響應的范圍和效率。

在上述分析的基礎上，本文重點關注告警聚合和關聯技術新進展，總結歸納其體系架構與應用準則，分析當前面臨的技術難題，并指明未來研究的發展方向。

1 告警聚合與關聯概述

數據融合[7]最初應用于軍事領域(聲納解釋系統)，對從單個和多個數據源獲取的數據在一定準則(如時序等)下進行自動分析、綜合等操作，以完成所需的評估和決策任務。下面介紹告警聚合與關聯的相關定義及實施過程。

1.1 相關定義

結合國內外研究成果，告警聚合和關聯的一般定義如下：

定義1原始告警:由IDS等安全設備直接檢測到，且未經深入分析和處理的告警。

定義2超告警:由多個原始告警合并生成的告警。

定義3告警聚合:由同一安全事件引起的特征相同或相似的告警合并生成的一個告警。

定義4告警關聯:將同一攻擊過程的多個單步攻擊動作所誘發的告警聯系在一起，重建攻擊線程。

定義5攻擊線程:多個單步攻擊動作按一定次序構成整個攻擊過程。

定義6攻擊場景:由一個或多個攻擊線程組成，刻畫系統面臨的安全威脅和攻擊者意圖。

1.2 聚合與關聯層次

告警信息處理是一個復雜問題，文獻[8]將告警信息的聚合和關聯過程分為以下四個層次，以降低告警分析處理的復雜度。隨著告警信息處理水平的提高，告警質量不斷提高，如圖1所示。

(1) 預處理 首先將異構IDS產生的告警信息格式進行標準化處理，并完成攻擊類型、時間戳等參數的統一映射，以便深入分析和處理告警信息。

(2) 單個IDS告警聚合 將不同IDS產生的具有特征相似性的多個告警在時間維度上進行縱向融合操作，通常在獨立的IDS系統中進行，用于將具有由單個IDS發出的相似或相同特征的多個告警組合成一個元告警，主要用于時間軸上的縱向融合操作。

(3) 多個IDS告警聚合 將多個同構或異構IDS檢測到的告警合并，對不同源告警在橫向空間維度上相互補充、印證，以發現理解攻擊行為的本質。

(4) 告警關聯 在告警聚合完成之后，通過關聯告警數據，將由相同攻擊線程生成的邏輯相關告警鏈接，以重建入侵場景，更深入剖析攻擊者的真實意圖與入侵路徑，為風險評價和入侵響應提供數據參考。

圖1 聚合與關聯過程

上述四個層次之間無明顯界限，基本目標是提升告警信息的質量，增強IDS的準確性和可用性。

2 聚合算法分析

2.1 預處理

告警預處理主要對告警語義及語法進行標準化處理，需要對告警信息的格式進行統一。IDMEF[9]是由入侵檢測工作組(IDWG)制定的一種標準草案，采用面向對象的方法描述安全設備產生的告警信息格式。該草案以XML語言來描述(RFC4765[10])，刻畫了其數學模型，同時闡述了該模型的基本原理及應用方法。其目的是定義安全設備(安全檢測或響應系統)的數據交換格式和協議。

依據IDMEF標準化后的告警信息屬性包括告警類型、時間戳、檢測器ID、端口號、IP、優先級等。由于告警信息處理系統中，傳感器的時鐘存在差異，通常借鑒網絡時間協議(Network Time Protocol)[11]實現傳感器時鐘的同步。

告警預處理所涉及的算法較少，本文重點對告警聚合與關聯算法進行分析。

2.2 告警聚合

告警聚合主要用于對原始告警信息進行處理，通過降低漏報和誤報，實現告警精簡，并為告警關聯提供告警數據支撐。

2.2.1 基于屬性相似度的方法

通常由相同攻擊類型引起的告警信息特征(或屬性)具有相似性，因此可以通過比較告警屬性的相似性來聚合告警信息。

Valdes等[12]采用概率統計的方法，定義屬性相似度函數，設計屬性特征多元匹配算法，計算告警的整體相似性，以將告警信息進行分組和歸并，從而達到減少重復告警的目的。Debar等[13]提出一種隱式聚合組件，建立了TACC模型，摘取新告警的部分屬性，并與歷史事件進行匹配，以聚合告警。該方法將告警信息投射到三條軸，即源地址、目的地址和類型，然后根據不同的場景類型，如果包含相同屬性的告警信息數目達到閾值，則將其合并成一條元告警。

龔儉等[14]提出了一種基于攻擊類型、空間與時間特征的冗余告警消減算法，可以消除大量重復告警，但存在信息損失且規則制定較為困難，不利于告警信息的后續處理(攻擊線程發現等)。陳志文等[15]設計了一種基于動態聚合時間窗口和最大聚合數量窗口相結合的告警聚合算法，但同樣存在告警信息損失的不足。

基于屬性相似度的告警聚合方法通過知識定義相似度函數、權重等，能夠更好地對已知攻擊類型告警進行聚合，且算法計算效率高，具有較好的實時性，但告警屬性相似度度量和權重分配很大程度依賴于專家知識，是一個由專家經驗維護的系統。

2.2.2 基于專家經驗的方法

相比于基于統計方法計算告警的相似性，Cuppens等[16-17]提出聚類穩定性的概念，基于專家系統定義告警相似性，定義謂詞邏輯，通過專家規則定義告警字段的相似性，該方法更加依賴于專家知識。Zhang等[18]設計決策支持模型，定義告警聚合規則，通過人機交互為告警聚合提供依據，其本質仍是基于專家知識的方法。

2.2.3 基于數據挖掘的方法

由于基于相似度和專家經驗的告警聚合方法都過分依賴于專家知識，許多學者對此進行了改進。數據挖掘[19](又稱知識發現)指從海量不完整，嘈雜的隨機數據中自動搜索隱藏特殊關系信息的過程，便于數據擁有者理解和使用。聚類是數據挖掘的方法之一，以無監督的方法將樣本化分成群或類。聚類技術應用于告警聚合領域，主要方法有：

(1) 基于層次的告警聚合算法。Julish[20-21]認為現有的聚合技術并不能很好地解決誤報率高的問題，作者將屬性泛化AOI(attribute-oriented induction)應用于聚類技術，并提出一種新的采用概念聚類的啟發式告警聚合方法，以一般到特殊的方式分解告警屬性，對告警信息進行分層，比較兩個告警的不同點，并將具有相同產生原因RC(root cause)的告警聚合成一個元告警，然后根據RC過濾誤告警。該方法在聚合告警的同時，過濾了誤告警，但該方法并不區分告警不同的屬性，而且假設所有的類具有固定的大小。Mamory等[22]采用半監督的方法，總結了AOI相關技術，并對Julish方法的過泛化問題進行研究，引入最近的共同祖先NCA(nearest common ancestor)的概念，提出一種概率聚類算法聚合告警信息。

基于層次的告警聚合算法適用于任意形狀的聚類，且能控制不同層次的聚類粒度，但計算復雜度較高，且存在無法回溯的不足，適用于離線場合(對日志文件的分析等)。

(2) 基于人工神經網絡的聚合算法。人工神經網絡ANN(artificial neural network)[23-24]模擬人腦的工作過程，對大規模復雜的非線性系統具有良好的模擬能力。廣泛應用于告警聚合的神經網絡算法有自組織神經網絡SOM(self-organizing map)、自聯想神經網絡AA(auto-associative)與學習向量機LVQ(learning vector quantization)。

SOM是Kohonen[25]提出的一種無人監督有競爭的人工神經網絡算法，通常應用于樣本分類，排序和檢測等領域。Kumar等[26]將SOM應用于告警聚類，將告警的屬性特征作為模型輸入。在訓練階段，將每一個神經元的權向量映射到二維空間。該方法使用以下公式來計算告警之間的距離(相異性)，其中，x為特征集(α1,α2,…,αn)，wk為權向量，wg為最佳匹配單元。

LVQ[27]是一種有監督的競爭式的神經網絡模型，為提高聚類的準確性，使用有標簽的數據訓練樣本。Wang等[28]將LVQ應用于告警聚合流程，將告警集分成五類，即normal、probing、DOS、U2R、R2L。作為有監督的競爭式的神經網絡模型，LVQ使用有標簽的數據訓練樣本，其聚合準確率高于SOM，且學習速度高于BP模型(學習速度慢且難以收斂)，可以很好地處理大規模告警集。

AA[29]是一種無監督的前饋神經網絡模型，具有對稱拓撲結構，相比于SOM算法，其優點是不需要先驗知識，而是在訓練數據時通過自組織的方式獲得，但聚類精度相比不高。Smith等[30]結合了AA算法與SOM、EM算法，設計實現了告警聚合系統，借鑒誤差反向傳播算法訓練數據，系統結構分為三層，包含n個輸入層單元，n個輸出層單元，以及j(j

采用神經網絡的告警聚合方法，通常基于并行結構，處理速度快，在噪聲的環境下魯棒性和容錯能力強，但諸多訓練參數需要設定，如拓撲結構、權值和閾值的初始化等，由于不能觀察學習過程，輸出結果難以解釋，進而可能影響結果的可信性和可用性。

2.2.4 基于模式搜索的方法

Siraj等[31]提出一種基于IUR(improved unit range)的混合聚類模型，使用主成分分析法PCA(principal component analysis)和期望最大化EM(expectation maximization)算法合并相似告警，以減少告警的數量。比較了EM算法和其他無監督機器學習算法(SOM，K-mean，FCM)的性能，并通過實驗證明EM算法性能最優(90.33% IPCA)[32]。不同的是，Siraj使用了主成分分析法，提升了告警聚合的精度和速度，而Hofmann的方法建立數據流模型，告警聚合的速度快，可以用于實時告警聚合。

基于模式搜索的方法具有高聚合精度并充分考慮噪聲數據，但該方法假設告警屬性概率分布彼此獨立。而且，概率分布的更新和存儲開銷很大，并且不適用于大規模數據告警集。

2.2.5 基于均方誤差的方法

該方法在聚類技術中是最直觀和經常使用的，對密集分布、類之間距離較遠時效果較好。典型的算法有K-means算法和ISODATA算法[33-37]。K-means算法使用歐幾里德距離來測量相似度，并使用平方誤差dist和作為聚類評估指標，可用下式計算：

Tjhai等[34]提出一個告警聚合架構，包括聚合和分類階段，分別使用SOM和K-means算法。SOM算法具有自動聚類、容錯性、特征映射和可視化等優點，但SOM算法本身不足以區分不同的類，為了改善這個不足，采用K-means算法，以確定類之間的邊界，同時將預定義告警簇的數目作為SOM算法的輸入向量數。然而，Fatma等[35]認為將K-means算法與SOM算法相結合仍有不足，即需要人為定義告警頻率和時間間隔以確定正確的分類，其提出的方法很好地解決了該問題，第一步采用基于K-means的SOM算法或基于FCM的神經核氣算法將一定時間段內的告警聚合成元告警，且實驗表明基于FCM的神經核氣算法聚合效果優于基于K-means的SOM算法。第二步為過濾誤告警，將元告警二分成正確告警和誤告警，并提供了三種解決思路，即基于K-means的SOM算法、SVM、DT，且實驗表明SVM性能優于另兩種方法(由于其較高的檢測率)。

ISODATA算法[36]基于K-means算法對聚類結果進行組合和分割，并使用誤差平方作為聚類準則，通過迭代改進聚類效果。在算法運行期間，聚類中心數量動態變化，通過重復校正以獲得更合理的聚類數量K，顯著降低了人為誤差。Man等[37]采用ISODATA算法以解決IDS的告警洪流和大量重復告警的問題。在隨機選定初始聚類中心的基礎上，將全部樣本按相似度準則進行聚類，對聚類后的結果再次求解均值作為下一輪聚類的中心，通過多次的反復迭代完成最終的告警聚類。

基于均方誤差的告警聚合方法具有簡單高效的特點，然而，預先給出的簇的數量對聚合結果具有很大影響并且對噪聲敏感。

2.2.6 基于進化算法的方法

進化算法可以有效解決許多傳統算法無法解決的復雜問題，例如，隨意性、復雜非線性力學、多峰函數等。典型的用于告警聚合的進化算法有遺傳算法GA和人工免疫系統AIS[38-39]。

(1) 遺傳算法 遺傳算法GA[38]借鑒生物進化理論中的自然選擇和遺傳機制來搜索最優解，其優點是不依賴樣本分布的先驗知識，并且不受初始解選擇的影響。Wang等[39]將其應用于IDS告警聚合領域，并比較了GA算法以及改進的GA算法(IGA)。Bahrbegi等[40]采用七種不同和遺傳算法用于告警聚合，并對比分析了實驗結果。

(2) 人式免疫系統 人體免疫系統[41]是一種自適應系統，可自動識別、自我組織，具有學習、記憶和適應動態環境變化和自組織特征，主要功能是識別自體和非自體細胞。文獻[42-43,45]將人工免疫系統應用于告警聚合，可以在告警生成階段有效過濾誤告警，減少告警數量。基于進化算法的告警聚合方法較好地解決了均方誤差方法難以獲得合理聚類中心的不足，抗噪能力強，且基于人工免疫的聚合算法可以有效過濾誤告警，但該方法需要合適的訓練集。

2.2.7 基于哈希函數的方法

根據Mohamed在文獻[46]所述，基于數據挖掘的方法在告警聚合時存在兩點不足：一是在屬性歸納(泛化)過程中，假設告警可以聚合是因為它們擁有相同的特征或來自于同一個源；二是距離度量增加了錯誤的可能，且計算開銷大(因為要計算每個告警以及類之間的距離)。Mohamed采用一種基于散列函數的聚合方法，從告警中選擇三個屬性(目的IP、告警ID、時間戳)，并通過MD5算法進行運算，得到哈希值。將新告警的哈希值與己有的告警(或類)進行匹配，若匹配成功，則將告警聚合；否則，創建一個新類。基于哈希函數，構建哈希表，使得告警特征比較的復雜度大大降低，但采用哈希值難以區分部分告警信息，聚合精度不高。

3 關聯算法分析

告警關聯通過對告警聚合結果進一步分析處理，目的是挖掘攻擊意圖，重建攻擊場景。告警關聯一般需要先驗知識的支持，依據對先驗知識的依賴強弱，可以將告警關聯技術分為強依賴和弱依賴兩類。

3.1 強依賴算法

根據知識表示的重點不同，強依賴算法可分為下列四種。

3.1.1 基于模型語言的關聯方法

該方法特點主要是在知識庫中明確攻擊事件關聯關系。早期采用攻擊序列模板的方式表示關聯關系，文獻[47]提出LAMBDA語言，將告警之間的關系表示為R=r1○r2○…○rn，其中○表示運算符，在整個序列E中，定義了告警間的串行、并行等五種關系，利用運算符描述攻擊序列模板，并采用字符匹配算法完成告警關聯。攻擊序列模板表示的關聯關系相對簡單，且不易修改擴充。文獻[48]和文獻[49]分別采用CAML語言和顯示關聯方法，采用模塊化類過程語言表示告警間的時間關系、屬性關系以及前后繼承關系等，表達能力增強。

此類方法的一個重要應用是事件關系模板的獲取，常用的方法有：基于專家知識構建關系模板，采用機器學習建模的方法，以及數據挖掘算法挖掘事件的頻繁模式等，此處不作詳述。

基于模型語言的關聯方法需要人工描述攻擊場景，具有簡單高效的特點，但只能識別已知的攻擊場景，且該方法對于漏告警比較敏感，存在漏報時無法將告警信息有效關聯。

3.1.2 基于事件的前因/后果的關聯方法

該方法依據告警事件產生的前因后果確定其關聯關系，文獻[50]利用這一思路來確定告警之間的關聯關系，并在過濾誤報、發現攻擊意圖以及挖掘新的攻擊模式方面實際效果良好。Hu等[51-52]基于多步攻擊各步驟間的因果關聯關系，在時空兩個維度對告警信息進行融合，提出了基于攻擊預測的安全態勢量化方法，輔助安全管理員從整體上把握網絡安全狀態的變化趨勢。

基于事件前因/后果的關聯分析方法可以全面挖掘事件對關聯關系的影響，但并非所有的關系都能夠準確反映攻擊意圖。此外，這種方法構建知識庫的成本很高，對漏報的容忍度很低。

3.1.3 基于Petri建模的關聯方法

文獻[53-54]提出了一種基于攻擊行為的Petri建模關聯方法，以區分告警事件和入侵動作。雖然模型中也包含前因和結果的概念，但核心是針對影響危害，將動作的前因和結果均量化為與影響危害的關系。告警關聯結果是獲取受危害資源和相應的置信水平，能夠有效減少告警數目，而且該方法對告警信息抽象的層次較高，可以用于安全態勢評估等領域。但整個模型參數較多，構建代價較大；而且該方法無法給出告警事件的關聯序列，影響了對告警的深度分析和響應。

3.1.4 基于隱馬爾可夫模型的關聯方法

文獻[55]將隱馬爾夫模型HMM(hidden Markov model)引入告警關聯，實驗結果表明，HMM適用于攻擊步驟的時間跨度變化大、有多種相似類型、難以準確提供復雜攻擊訓練數據的應用場景。HMM模型適用于分析隨機觀測序列和隱藏的狀態轉移序列間的關系，觀察序列對應攻擊誘發的告警信息，而狀態序列對應攻擊步驟，狀態轉移概率描述了攻擊步驟間的關聯性。文獻[56]中，作者利用HMM對告警進行關聯并分類，實驗結果優于決策樹和神經網絡。胡浩等[57]利用吸收馬爾可夫鏈AMC(absorbing Markov chain)描述多步攻擊的狀態轉移過程，實現了入侵意圖和路徑的預測，但該方法側重靜態分析，如何結合實時告警信息，提升應急響應的時效還有待進一步研究。

3.2 弱依賴算法

弱依賴算法主要是從歷史樣本數據中提取攻擊或告警關聯關系，典型的方法有以下兩種。

3.2.1 基于相似度的關聯方法

基于相似度的關聯方法把告警信息屬性泛化為特征向量，通過計算屬性相似度來分析告警間的整體相似度，將當前告警與歷史模板中告警的相似度大于閾值且相似度最高的告警進行關聯；否則，構建新的關聯隊列并將當前告警加入隊列中的首位置。

文獻[58]利用模糊綜合評判法設計告警關聯算法，基于有監督的確信度學習過程實現誤告警過濾，其定義告警關聯度計算公式為：

式中：SIM(anew,aold)表示告警之間的整體相似性，ki為屬性的權值，rij為模糊隸屬度權值。

通過數據挖掘可以獲得相似度函數，文獻[59]將告警分為發現、掃描、提升特權、拒絕服務和隱蔽攻擊五種類型。對于不同的告警類型i和j，定義類型間的轉換關系為Rij，采用Sigmod函數σij(Δt)=1/(1+eαij+βijΔt)分析告警的時間關系；將源IP地址間的關系分解為五種轉換概率，即Pij(r),r=0,8,16,24,32。參數值可由挖掘告警數據集獲取，告警的相似度函數表示為Rij·σij(Δt)·Pij(r)。

基于相似度函數的方法，具有不依賴專家先驗知識的優勢，但需要在大量樣本數據訓練的基礎上確定各項參數值。此外，算法獲得的邏輯關聯告警僅具有相似的空間和時間特征，但難以刻畫告警間的本質關系，不利于分析攻擊者意圖。

3.2.2 基于時間序列的關聯方法

Qin等[60]認為攻擊的因果關系反映在告警信息上是時間序列的聯系，采用自回歸模型AM(autoregressive model)設計了時間序列分析方法來發現新的攻擊關系，同時利用了貝葉斯信念網絡模型降低計算開銷。類似地，殷其雷等[61]利用Apriori算法分析告警數據的關聯規則，挖掘告警間的時序關系。

該方法有利于發現新的告警關系，且無需大量樣本數據，但實際應用中，該方法對噪聲告警非常敏感，由于不能簡單依據隨機分布的特征排除所有噪聲，研究設計魯棒性更強的時間序列關聯方法具有重要意義。

3.3 對比分析

從現實應用角度出發，利用以下四個指標對上述告警關聯方法進行綜合比較，如表1所示。

(1) 在專家知識需求方面，是否依賴專家知識是評估關聯算法的重要指標，盡管強依賴算法的應用更好。然而，需要大量的先驗知識，難以維護，并且弱依賴性算法相對靈活。

(2) 在發現新攻擊序列方面，除了基于模型語言和隱馬爾可夫模型的告警關聯方法外，其他關聯方法還具有發現新攻擊序列的能力。強依賴算法發現未知攻擊的能力受限于領域知識，弱依賴算法基于報警統計特征，因此發現未知攻擊序列的能力較弱。

(3) 在算法健壯性方面，健壯性的強弱主要指算法對誤報和漏報的適應能力。基于事件的因果關系和Petri建模方法可以在一定程度上消除誤報并推測漏告警。

(4) 在協同檢測能力方面,復雜網絡環境中，對某個目標的攻擊可能由多個黑客協同完成。分析算法的基本原理，修改基于模型語言方法中源地址關系、修改基于Petri建模方法中角色的概念、以及在基于HMM模型的方法中按目的地址組織告警序列，以上三種方法具備一定的檢測協同能力。

表1 關聯算法對比分析

4 應用分析

告警信息處理具有一定的復雜性，采用單一策略無法取得理想的結果，應靈活選擇告警聚合與關聯體系結構和算法。

4.1 體系結構

目前，入侵告警信息聚合與關聯系統的體系結構包括集中式、層次式、分布式三種類型，如圖2所示，集中式結構適用于較小的網絡環境，而層次式和分布式結構適用于中大規模的網絡。

圖2 聚合與關聯系統結構

(1) 集中式體系結構如圖2(a)所示。集中式告警聚合與關聯系統中，中心處理單元將多源IDS告警數據進行聚合和關聯，能夠有效縮減告警處理時間，然而隨著告警數量的增多，系統傳輸開銷急劇增加，且中心處理單元易被來不及處理的告警信息“淹沒”。

(2) 層次式體系結構如圖2(b)所示。鑒于集中式結構的缺陷，研究人員提出了一種分層告警聚合和關聯結構，以定義幾個不同等級的關聯區域。每個聚合和關聯子單元僅處理特定區域中的告警信息，然后將結果發送給上一級聚合和關聯單元。該結構能夠有效降低中心處理單元的工作量和網絡通信負載，同時在一定程度上增強容錯性。然而，由于中央單元的存在，整個聚合和關聯系統在可擴展性方面沒有得到實質性改進。

(3) 分布式體系結構如圖2(c)所示。在分布式結構中，中央處理單元用于維護整個系統，而其他處理單元不分級別，各自處理一定范圍內的告警信息，并結合聚合和關聯結果依據實際情況發送給其他單元。由于告警和處理單元間的相關性是已知的，因此能夠顯著降低網絡負荷，同時整體關聯效果良好。雖然沒有了中心處理單元，系統可擴展性和安全性等得到了明顯提升，但該結構實施較為復雜，維護成本高。

4.2 應用準則

告警聚合和關聯算法各有利弊，分別適用于不同的環境或場合。在實際應用中，應遵循以下準則：

(1) 告警聚合和關聯是告警信息處理的中間層次，對下是目標，對上是手段，其結果應利于高層安全策略，即有利于告警信息的進一步分析，如風險評估、態勢感知、入侵響應等。

(2) 依據應用場景使用不同的聚合和關聯算法。不同算法適用于不同場合，各有優勢，算法間的互補性很強，系統可以根據安全要求綜合使用不同的算法，以取得更好的聚合與關聯效果。

5 結 語

近年來，入侵告警聚合與關聯技術取得了長足的發展，很大程度上提高了IDS的性能和可用性。但仍面臨諸多挑戰，包括：(1) 告警信息數量與質量的矛盾，如何有效減少誤報和漏報，并提高系統的檢測率是一個難點。(2) 異構安全設備的告警聚合與關聯，由于不同安全設備檢測技術和攻擊分類方法不同，在告警聚合和關聯時，不僅要統一告警信息格式，還要實現整個系統內的攻擊統一分類和映射。(3) 告警的深入處理，在告警聚合和關聯基礎上，如何聯合不同的處理系統識別攻擊意圖，并與風險評估和入侵響應的結合也是應用難點。(4) 告警聚合與關聯的實時性、統一規范的描述語言等也是未來研究的難點。

伴隨網絡技術的迅速發展，目前網絡攻擊呈現出多樣化和復雜化的特點，對于告警=聚合和關聯技術提出了更高的要求，呈現出以下發展趨勢：(1) 智能處理方法，靈活應對復雜網絡環境和攻擊方法。(2) 關聯規則挖掘，關聯規則如何產生并應用于告警關聯、分析網絡態勢等。(3) 可視化，協助安全管理員分析隱藏在大量告警消息背后的攻擊模式和意圖。(4) 態勢評估，如何對告警信息進行量化評價，從而分析網絡態勢，得到系統更準確可靠的安全狀態。(5) 入侵響應，判斷真實的入侵和攻擊行為，減少響應次數和經濟成本。

簡而言之，告警聚合與關聯技術要求準確、實時、適應性強和擴展性好等，更有效地提高IDS和其他安全設備的適用性，以增強網絡整體的安全保護和應急響應能力。