入侵檢測(cè)系統(tǒng)告警分析與關(guān)聯(lián)方法研究.pdf

1、隨著網(wǎng)絡(luò)在日常生活中應(yīng)用范圍的逐步擴(kuò)大，網(wǎng)絡(luò)的安全和可靠越來(lái)越為人們所重視。在所有網(wǎng)絡(luò)安全機(jī)制中，入侵檢測(cè)系統(tǒng)已經(jīng)與諸如加密認(rèn)證和訪問(wèn)控制等基于防御的安全機(jī)制一起成為保護(hù)網(wǎng)絡(luò)免受惡意攻擊的第二道防線。然而，傳統(tǒng)的入侵檢測(cè)系統(tǒng)存在兩大缺陷。首先，它們產(chǎn)生的主要是針對(duì)攻擊或者異常的低層次告警，并且它們產(chǎn)生告警的過(guò)程是獨(dú)立的，這樣各個(gè)不同的入侵檢測(cè)傳感器產(chǎn)生的告警可能存在冗余信息或者告警間互相存在邏輯關(guān)聯(lián)。其次，傳統(tǒng)的入侵檢測(cè)系統(tǒng)所產(chǎn)生的告警

2、信息中存在大量的虛假告警，它們與真實(shí)的告警信息相互混雜，并極大的增加了告警數(shù)量。包含重復(fù)告警和虛假告警的大量告警信息可以導(dǎo)致系統(tǒng)管理員不堪重負(fù)，并使他們不能充分的了解和掌握網(wǎng)絡(luò)的安全狀況并及時(shí)做出恰當(dāng)反應(yīng)?；谏鲜鲇^察，作者的主要工作集中于對(duì)入侵檢測(cè)系統(tǒng)所產(chǎn)生的告警信息的分析和關(guān)聯(lián)方法研究。本文首先介紹了當(dāng)前告警信息分析和關(guān)聯(lián)所采用的主要方法，分析了利用告警間邏輯關(guān)系來(lái)進(jìn)行告警分析和處理的工作原理，并針對(duì)它們存在的缺陷提出了相應(yīng)的改進(jìn)方

3、法。其次，由于傳統(tǒng)的告警分析和關(guān)聯(lián)方法利用有關(guān)告警信息間已知邏輯關(guān)系的已有知識(shí)來(lái)進(jìn)行處理，因此傳統(tǒng)的告警關(guān)聯(lián)方法無(wú)法處理新的告警信息或者已知告警信息之間新的關(guān)聯(lián)關(guān)系。本文據(jù)此提出將信息論的方法應(yīng)用到告警分析和關(guān)聯(lián)中，這樣可以不必依賴于預(yù)先定義的告警間邏輯關(guān)系來(lái)進(jìn)行告警分析和關(guān)聯(lián)。最后，本文采用美國(guó)麻省理工學(xué)院林肯實(shí)驗(yàn)室發(fā)布的DARPA1999數(shù)據(jù)集合對(duì)告警分析和關(guān)聯(lián)方法的性能進(jìn)行了實(shí)驗(yàn)驗(yàn)證。實(shí)驗(yàn)結(jié)果表明該方法能夠有效的發(fā)現(xiàn)告警之間存在的