考慮置信度的告警因果關聯(lián)的研究.pdf

1、目前入侵檢測系統(tǒng)主要采用誤用檢測和異常檢測兩種方法，都不可避免地會產生漏報和誤報，數量龐大的告警使得管理員很難從中真正了解當前系統(tǒng)的安全狀況。研究者們在不斷改進檢測算法、完善攻擊模式庫的同時，已經開始利用告警之間的關聯(lián)來提高入侵檢測的性能。美國北卡羅萊納州大學的Peng Ning及其工作小組提出的告警因果關聯(lián)方法，利用入侵行為所需的攻擊前提和造成的攻擊結果，將不同的告警按因果關系關聯(lián)起來，從而重構攻擊者的攻擊場景。 然而，此前的

2、研究很少考慮到入侵檢測系統(tǒng)告警關聯(lián)的置信度問題，往往認為只要關聯(lián)引擎將兩個告警相關聯(lián)，那么它們之間的關聯(lián)關系就必然真實存在。但是由于關聯(lián)算法本身存在的種種局限，事實上存在著一定的誤關聯(lián)情況，而且不同的關聯(lián)，它們的可信度實際上也并不相同。 為了解決這個問題，本文結合當今入侵檢測系統(tǒng)告警關聯(lián)研究的現狀，在主要研究Peng Ning提出的基于攻擊前提和攻擊結果的告警因果關聯(lián)方法的基礎上，把告警關聯(lián)的置信度作為一個獨立的關聯(lián)屬性引入，做到

3、不僅將告警進行關聯(lián)，并對此關聯(lián)的可信度進行定義，在告警關聯(lián)方面提出了一些自己的見解，主要工作有： （1）在考慮告警關聯(lián)置信度的基礎上，設計了一種較為詳細的因果關聯(lián)算法，把置信度作為告警關聯(lián)的一個獨立屬性加載到整個算法中，和傳統(tǒng)算法中完全依賴專家知識、不考慮關聯(lián)的可信度的做法不同，此算法根據告警原有屬性，綜合運用多層神經網絡和支持向量機的方法，通過數據挖掘和數據訓練，不斷更新告警關聯(lián)的置信度。此算法中的告警關聯(lián)置信度可作為一個重要

4、的因素，直接影響并優(yōu)化告警關聯(lián)的結果。 （2）在算法的基礎上，設計了一個綜合的告警因果關聯(lián)置信度模型，此模型以告警因果關聯(lián)模型為基礎，主要分成四個模塊：告警預處理、關聯(lián)引擎（包括因果關聯(lián)和置信度計算）、數據庫管理、可視化顯示等子模塊組成。該模型能很好地將置信度引入到告警因果關聯(lián)方法之中。 （3）利用 DARPA 標準數據集對告警因果關聯(lián)置信度模型進行了簡單的仿真實現，初步的實驗結果表明該模型能有效排除誤報和發(fā)現漏報，同時