入侵檢測的分級告警關(guān)聯(lián)理論和技術(shù)研究.pdf

1、隨著黑客攻擊手段和技術(shù)的日益復雜化、更具隱蔽性和分布式發(fā)展,入侵檢測在大規(guī)模分布式系統(tǒng)中的應用越來越受到關(guān)注,分布式系統(tǒng)的異構(gòu)性和自治性以及傳統(tǒng)入侵檢測系統(tǒng)自身的缺陷使得重復性的、不完善的或不完整的告警數(shù)據(jù)大量泛濫,系統(tǒng)管理員難于控制和管理告警數(shù)據(jù),導致漠視告警,產(chǎn)生極高的誤報率和漏報率,入侵意圖的識別也變得更加困難,從而不能及時對入侵作出相應反應,給系統(tǒng)帶來巨大的損失.告警關(guān)聯(lián)技術(shù)是解決上述問題的一種有效方法.目前的告警關(guān)聯(lián)技術(shù)雖然取

2、得了一定的進展,但它們還存在許多急需改進的地方,例如,不能同時處理各種特征混合的告警關(guān)聯(lián);關(guān)聯(lián)結(jié)果不能識別真正攻擊意圖;沒有考慮丟失告警數(shù)據(jù)的恢復以及缺乏后關(guān)聯(lián)機制等.故離問題的解決仍有很大的距離.分級告警關(guān)聯(lián)理論和技術(shù)的提出可以有效地解決上述問題.分級告警關(guān)聯(lián)由三個關(guān)聯(lián)處理層構(gòu)成,即原始事件歸約層、原子事件關(guān)聯(lián)層和攻擊意圖識別層.告警數(shù)據(jù)分布式的特點使得同一攻擊事件可能給出了若干個告警,導致重復性告警數(shù)據(jù)的泛濫,原始事件歸約層采用實時

3、歸約算法,通過實時搜索并匹配給定時間間隔內(nèi)的告警數(shù)據(jù)的各特征(AttackName,Source,Target,Service)進行合并和歸約,可以有效地精簡重復性告警數(shù)據(jù).攻擊意圖識別層又稱為后關(guān)聯(lián)層,它有兩個作用,第一:試圖找回丟失的關(guān)鍵告警,使得目前斷連的、但實際卻是關(guān)聯(lián)的告警數(shù)據(jù)可以關(guān)聯(lián),從而提高攻擊場景的重構(gòu)率.第二:對于攻擊行為隸屬多個不同攻擊場景,但最終攻擊意圖不明的情形則使用對抗式規(guī)劃識別模型來選擇最優(yōu)攻擊場景路徑,以較

4、準確地解讀攻擊意圖.使用規(guī)劃求解方法對攻擊過程(即攻擊場景)建模,并用違背安全策略的系統(tǒng)狀態(tài)對攻擊意圖建模,引入虛擬告警表示丟失的告警數(shù)據(jù),并使用實時因果關(guān)聯(lián)算法和基于概率傳播和更新算法的貝葉斯網(wǎng)推理模型完成了上述功能.實例表明所提出的算法能較準確地定位攻擊意圖、理解攻擊策略.使用MIT Lincoln Lab給出的2000 DARPA LLDOS1.0和Shmoo Group收集的DEFCON 8 CTF數(shù)據(jù)集分別對分級告警關(guān)聯(lián)算法進