入侵檢測響應(yīng)系統(tǒng)事件關(guān)聯(lián)的研究.pdf

1、入侵檢測系統(tǒng)已經(jīng)能夠用各種檢測方法來檢測入侵，但是，大多數(shù)的入侵響應(yīng)系統(tǒng)只是形成日志或報警來通知系統(tǒng)管理員，滯后的人工響應(yīng)造成了不可恢復(fù)的嚴(yán)重?fù)p失。入侵檢測系統(tǒng)迫切需要自動響應(yīng)，一旦發(fā)生入侵，系統(tǒng)能采取適當(dāng)?shù)拇胧┘皶r抵御面臨的威脅。 本文在對相關(guān)研究領(lǐng)域己有工作進(jìn)行總結(jié)的基礎(chǔ)上，提出了一種自動入侵響應(yīng)系統(tǒng)的通用框架。入侵響應(yīng)系統(tǒng)以入侵檢測系統(tǒng)輸出的安全事件作為輸入。由于入侵檢測系統(tǒng)的局限，它檢測出的事件與攻擊的發(fā)生存在多對一的關(guān)

2、系，因此本義研究了冗余消除問題，它對響應(yīng)系統(tǒng)的輸入進(jìn)行預(yù)處理，對每次攻擊僅產(chǎn)生一個事件，從而避免響應(yīng)系統(tǒng)做出多余的響應(yīng)。本文對冗余事件的關(guān)聯(lián)特征進(jìn)行系統(tǒng)的分析，包括攻擊類型關(guān)聯(lián)特征、空間關(guān)聯(lián)特征、時間關(guān)聯(lián)特征。對于空間關(guān)聯(lián)特征，本文采取枚舉的方法進(jìn)行分析；對于時間關(guān)聯(lián)特征，本文通過對大最的攻擊實(shí)例進(jìn)行分析，提出了相對均方籌模型來刻畫其特征。在提取這些關(guān)聯(lián)特征的基礎(chǔ)上，本文使用基于規(guī)則的方法描述每種可能的冗余情況，并提出了基于實(shí)時聚類的冗

3、余消除算法，根據(jù)冗余消除規(guī)則集，實(shí)時接收安全事件進(jìn)行冗余消除。入侵意圖識別的主要目的是實(shí)現(xiàn)警報關(guān)聯(lián)和對復(fù)合攻擊的預(yù)警。本文提出的入侵意圖識別算法基于復(fù)合攻擊的步驟間主要存在因果邏輯關(guān)系的特點(diǎn)，提出基于因果關(guān)系關(guān)聯(lián)警報以進(jìn)行意圖識別。該意圖識別算法具有算法復(fù)雜度較低和易于計算環(huán)境參數(shù)等優(yōu)點(diǎn)。對冗余消除算法的測試和分析表明，該算法能夠有效地消除原始安全事件流中的冗余，對高速網(wǎng)絡(luò)中一周安全事件分析顯示冗余消除程度達(dá)10倍以上。實(shí)驗證明事件關(guān)聯(lián)