基于报警序列的入侵场景自动构建

？传统的入侵检测系统（ids）由于其规则的抽象程度较低，导致一次攻击行为会产生大量重复和相关报警。研究表明，入侵场景可提供较高层次的抽象来表示攻击过程，但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法，将原始报警按照（源，目标）ip对和优先级分类成不同超报警序列集合，从中挖掘频繁闭序列作为入侵场景。在darpa数据集上的实验表明，该方法可以满足在线运行，并可有效发现攻击过程。