Корреляция предупреждений — это система, которая получает предупреждения от разнородных систем обнаружения вторжений и уменьшает количество ложных предупреждений, выявляет высокоуровневые схемы атак, повышает значимость произошедших инцидентов, прогнозирует будущие состояния атак и обнаруживает первопричины атак. Для достижения этих целей в мире было внедрено множество алгоритмов со многими преимуществами и недостатками.
В этой статье мы пытаемся представить всесторонний обзор уже предложенных алгоритмов корреляции предупреждений. Подход этого обзора в основном сосредоточен на алгоритмах корреляционных механизмов, которые могут работать в корпоративных и практических сетях. Имея в виду эту цель, вводятся многие характеристики, связанные с точностью, функциональностью и вычислительной мощностью, и все категории алгоритмов оцениваются с учетом этих характеристик. Результат этого исследования показывает, что каждая категория алгоритмов имеет свои сильные стороны, и идеальная корреляционная структура должна нести сильные стороны каждой категории.
Symposium on Cyberspace Safety and Security (CSS), Lecture Notes in Computer Science, Springer International Publishing, 2013 г. [Документ]
