A Comprehensive Vulnerability Based Alert Management Approach.pdf

1、正確的決策而且需要花費(fèi)更長(zhǎng)時(shí)間。通常攻擊會(huì)產(chǎn)生數(shù)千個(gè)冗余警報(bào),去除冗余的已驗(yàn)證警報(bào)就變得非常重要。很多基于漏洞的方法也會(huì)產(chǎn)生大量孤立警報(bào),這些警報(bào)很難與其他警報(bào)關(guān)聯(lián),影響挖掘警報(bào)之間的因果關(guān)系。其次,使用過(guò)期漏洞數(shù)據(jù)進(jìn)行驗(yàn)證。漏洞數(shù)據(jù)需要經(jīng)常更新才能檢測(cè)新的攻擊。每天都會(huì)在計(jì)算機(jī)網(wǎng)絡(luò)中發(fā)現(xiàn)新的攻擊和漏洞,因此需要查找新威脅,并根據(jù)這些威脅更新漏洞數(shù)據(jù)。再次,已驗(yàn)證警報(bào)的信息太基本并且不完備,不能加強(qiáng)警報(bào)的語(yǔ)義。信息中沒(méi)有描述警報(bào)的相關(guān)性

2、、嚴(yán)重程度、頻率和資源的機(jī)密等級(jí)。需要補(bǔ)充警報(bào)信息充實(shí)警報(bào)的語(yǔ)義,在整體上減少不必要警報(bào)的數(shù)量。最后,這類方法不能將警報(bào)與未知攻擊聯(lián)系起來(lái)。
　　本論文提出更好的基于脆弱性的警報(bào)管理框架來(lái)解決上述挑戰(zhàn)。首先描述IDS框架的基本思想,然后描述所設(shè)計(jì)的IDS框架的細(xì)節(jié)。
　　(1)IBS框架的基本思想
　　現(xiàn)有警報(bào)管理框架設(shè)計(jì)的目標(biāo)如下:驗(yàn)證警報(bào)、識(shí)別錯(cuò)誤警報(bào)或者通過(guò)聚集同一攻擊的相關(guān)警報(bào)構(gòu)建攻擊場(chǎng)景。主要想法來(lái)自于Hub

3、balli等人最近提出的警報(bào)管理研究工作。目標(biāo)是提出一種有效和快速的警報(bào)管理方法,該方法不僅驗(yàn)證警報(bào),而且刪除大量有關(guān)系的冗余和孤立警報(bào)。所提方法處理基于簽名IDS產(chǎn)生的警報(bào),驗(yàn)證、聚類或者關(guān)聯(lián)同一攻擊的警報(bào),并且以元警報(bào)的形式表示。
　　警報(bào)管理的基本思想如下。從基于簽名的入侵檢測(cè)系統(tǒng)(NIDS)傳感器收集警報(bào)。包括提取警報(bào)的重要特征如IP地址和端口號(hào),并且存儲(chǔ)在警報(bào)管理數(shù)據(jù)庫(kù)中以備后續(xù)分析。預(yù)處理的警報(bào)被發(fā)送到IDSAlert

4、-EVA數(shù)據(jù)驗(yàn)證組件,完成驗(yàn)證警報(bào)和計(jì)算警報(bào)相關(guān)值。明顯的非相關(guān)警報(bào)有很少或者根本沒(méi)有與EVA數(shù)據(jù)的匹配。已驗(yàn)證警報(bào)傳給警報(bào)融合組件。
　　圖1:警報(bào)管理框架
　　(2)詳細(xì)框架的關(guān)鍵描述
　　評(píng)估警報(bào)管理基本思想之后,我們認(rèn)為應(yīng)該改善處理警報(bào)的速度和警報(bào)的語(yǔ)義。因此,在我們的詳細(xì)方法中引入了警報(bào)歷史和警報(bào)分類。詳細(xì)框架由三階段組成。階段1為警報(bào)驗(yàn)證,階段2為警報(bào)分類,階段3為警報(bào)關(guān)聯(lián)?？蚣軐?shí)現(xiàn)的核心是在警報(bào)評(píng)估過(guò)程中

5、引入動(dòng)態(tài)威脅輪廓(網(wǎng)絡(luò)和主機(jī)資源信息和通用已知的漏洞信息)。使用動(dòng)態(tài)威脅輪廓評(píng)估攻擊成功可能性,從而改善警報(bào)質(zhì)量。
　　所提方法如下,參考圖2:
　　i.IDS傳感器檢測(cè)入侵且發(fā)布警報(bào)。
　　ii.接收原始警報(bào),并且使用警報(bào)接收單元對(duì)其進(jìn)行預(yù)處理。
　　iii.使用警報(bào).元警報(bào)歷史關(guān)聯(lián)器對(duì)預(yù)處理后的警報(bào)與元警報(bào)(元警報(bào)歷史)進(jìn)行比較。如果給定警報(bào)匹配任何一個(gè)元警報(bào),那么認(rèn)為此警報(bào)是正確的,并且發(fā)送給警報(bào)關(guān)聯(lián)組件。

6、如果沒(méi)有匹配,認(rèn)為是可疑警報(bào)并且發(fā)送給警報(bào)-EVA數(shù)據(jù)驗(yàn)證器。
　　iv.警報(bào)-EVA數(shù)據(jù)驗(yàn)證器使用EVA數(shù)據(jù):驗(yàn)證警報(bào),刪除最可能不感興趣的警報(bào)并且計(jì)算警報(bào)標(biāo)準(zhǔn)。警報(bào)加上警報(bào)標(biāo)準(zhǔn)標(biāo)簽變?yōu)檗D(zhuǎn)換的警報(bào),發(fā)送給階段2(警報(bào)分類)。V.轉(zhuǎn)換的警報(bào)根據(jù)他們的警報(bào)標(biāo)準(zhǔn)被分到一個(gè)類中。類中的警報(bào)進(jìn)一步分成兩類(理想感興趣警報(bào)和局部感興趣警報(bào))。這些警報(bào)類發(fā)送到警報(bào)關(guān)聯(lián)組件。Vi.警報(bào)關(guān)聯(lián)組件減少冗余和孤立警報(bào),找到警報(bào)間的因果關(guān)系。子關(guān)聯(lián)器特

7、定的對(duì)于一類警報(bào)。關(guān)聯(lián)的警報(bào)以元警報(bào)的方式呈現(xiàn)。頻繁的元警報(bào)被發(fā)送到元警報(bào)歷史主要是因?yàn)?關(guān)聯(lián)后面的相關(guān)警報(bào)和輔助修改IDS簽名。Vii.分析者接收元警報(bào)并且觀察警報(bào)的優(yōu)先級(jí)和攻擊的特性。
　　圖2:警報(bào)管理系統(tǒng)的細(xì)節(jié)設(shè)計(jì)
　　(3)警報(bào)驗(yàn)證方法
　　警報(bào)驗(yàn)證是主要組件之一。網(wǎng)絡(luò)中的威脅來(lái)源于它自身的漏洞。每個(gè)攻擊都是利用特定應(yīng)用、服務(wù)、端口或者協(xié)議的漏洞。傳統(tǒng)IDS運(yùn)行在默認(rèn)的簽名庫(kù)上,不檢查局部網(wǎng)絡(luò)內(nèi)容與入侵的關(guān)系

8、。因此產(chǎn)生的大量原始警報(bào)對(duì)于網(wǎng)絡(luò)內(nèi)容沒(méi)有用處。
　　設(shè)計(jì)網(wǎng)絡(luò)的動(dòng)態(tài)威脅框架,稱為加強(qiáng)漏洞評(píng)估(EVA)數(shù)據(jù)。EVA數(shù)據(jù)代表可能被攻擊者利用的網(wǎng)絡(luò)漏洞。根據(jù)IDS、名稱、優(yōu)先級(jí)、口地址、端口、協(xié)議、分類、時(shí)間和應(yīng)用列出所有漏洞。網(wǎng)絡(luò)特定的漏洞生成器通過(guò)建立漏洞所有元素的關(guān)系,來(lái)構(gòu)建EVA數(shù)據(jù)。漏洞所有元素來(lái)自于三個(gè)方面:
　　·已知漏洞數(shù)據(jù)庫(kù),如CVE數(shù)據(jù)庫(kù)提供漏洞的額外信息。
　　·漏洞掃描器生成掃描報(bào)告,包括威脅、入

9、侵和網(wǎng)絡(luò)存在的漏洞。報(bào)告指出可能被占用的網(wǎng)絡(luò)資源。很多漏洞掃描器可以產(chǎn)生這些信息,如Nessus和Protector-plus。腳本語(yǔ)言Perl能夠處理來(lái)自于不同掃描器的報(bào)告。
　　·網(wǎng)絡(luò)資源數(shù)據(jù)庫(kù)包括網(wǎng)絡(luò)信息,如網(wǎng)絡(luò)中的主機(jī)、應(yīng)用、口地址和端口等。
　　生成器使用加強(qiáng)的實(shí)體關(guān)系(ER)模型捕捉和構(gòu)建EVA數(shù)據(jù)。ER模型的數(shù)據(jù)包括:主機(jī)、端口、應(yīng)用、端口威脅、應(yīng)用威脅、占用、漏洞和攻擊信息。使用IDSAlert-EVA數(shù)據(jù)驗(yàn)

10、證器驗(yàn)證警報(bào):驗(yàn)證器使用給定警報(bào)的IP地址找到EVA數(shù)據(jù)中的潛在威脅,從潛在威脅中選擇最能代表警報(bào)的威脅,如所選的漏洞具有最高的警報(bào)相關(guān)值。警告相關(guān)值是警報(bào)和漏洞之間參數(shù)的匹配數(shù),警報(bào)最后都會(huì)被標(biāo)記了警報(bào)相關(guān)值。有三種類型的警報(bào)相關(guān):理想、部分和非相關(guān)。被標(biāo)記成理想和部分的警報(bào)會(huì)被傳送到警報(bào)融合器中,標(biāo)記為非相關(guān)的警報(bào)會(huì)被刪除。使得警報(bào)融合器只處理真正的威脅警報(bào)。為了更好找到警報(bào)相關(guān)不同等級(jí)的閾值,進(jìn)行了大量不同閾值的實(shí)驗(yàn)。閾值可以根據(jù)

11、網(wǎng)絡(luò)情況進(jìn)行調(diào)整。
　　警報(bào)驗(yàn)證有6個(gè)子驗(yàn)證器,處理來(lái)自于6組不同攻擊的警報(bào)。攻擊如DoS、Telnet、FTP、Mysql、Sql和未定義的攻擊組。從而簡(jiǎn)化了警報(bào)驗(yàn)證過(guò)程,因此改善了警報(bào)驗(yàn)證的質(zhì)量。
　　警報(bào)驗(yàn)證的質(zhì)量取決于IDS警報(bào)和相應(yīng)漏洞的信息的各個(gè)方面,從IDS警報(bào)到他們相應(yīng)的漏洞。威脅輪廓和IDS產(chǎn)品使用不同的攻擊細(xì)節(jié),比如相同攻擊的參考ID。事實(shí)上,沒(méi)有單獨(dú)的攻擊細(xì)節(jié)如參考ID能關(guān)聯(lián)所有類型的攻擊。為了使用綜合

12、EVA數(shù)據(jù),我們從IDS產(chǎn)品中關(guān)聯(lián)了其他的攻擊信息。這些信息補(bǔ)充確定警報(bào)相關(guān)性,保證EVA數(shù)據(jù)中攻擊細(xì)節(jié)的完整性。同時(shí),它也增加了警報(bào)相關(guān)值的精確度,提高了驗(yàn)證過(guò)程的速度。
　　為了驗(yàn)證警報(bào)驗(yàn)證方法,Snort作為具有默認(rèn)的規(guī)則集的NIDS。一個(gè)機(jī)器存儲(chǔ)警報(bào)和EVA數(shù)據(jù)。為了生成所需的警報(bào)集,實(shí)驗(yàn)使用的攻擊機(jī)器執(zhí)行已知的攻擊技術(shù),占用已知的應(yīng)用、操作系統(tǒng)、端口和協(xié)議。攻擊分為5類:DoS、FTP、SOL、MySql和Telnet。

13、生成EVA數(shù)據(jù)的時(shí)間受一些因素影響,如每個(gè)主機(jī)安裝的應(yīng)用的個(gè)數(shù)、掃描器的類型、掃描的主機(jī)個(gè)數(shù)和網(wǎng)絡(luò)中使用的掃描器的個(gè)數(shù)。平均需要2～6分鐘掃描一個(gè)主機(jī)。建立EVA數(shù)據(jù)后,正確構(gòu)建漏洞掃描器,使掃描新漏洞的時(shí)間最小。當(dāng)網(wǎng)絡(luò)改變和和刪除廢棄漏洞時(shí),需要進(jìn)一步調(diào)整EVA數(shù)據(jù)。
　　為了評(píng)估框架的有效性,使用三個(gè)參數(shù):檢測(cè)率、準(zhǔn)確度和降低率。此框架在減少非相關(guān)警報(bào)方面非常有效。準(zhǔn)確度達(dá)到96.1%,檢測(cè)率是92.6%。系統(tǒng)能夠改善Snor

14、t警報(bào)的準(zhǔn)確度至少達(dá)到80%,最少的影響Snort的檢測(cè)率。
　　(4)警報(bào)分類方法
　　在對(duì)警報(bào)進(jìn)行分類之前,我們的方法使用警報(bào)歷史保存了最近和頻繁出現(xiàn)的警報(bào),從而幫助處理到達(dá)的警報(bào),簡(jiǎn)化警報(bào)分類任務(wù)。在警報(bào)分類組件中選擇融合元警報(bào)歷史主要因?yàn)?IDS可能產(chǎn)生相似模式的警報(bào)。相似模式表現(xiàn)為一段時(shí)間內(nèi)頻繁的IP地址、端口和觸發(fā)的簽名。一些警報(bào)模式可能頻繁出現(xiàn)并且持續(xù)一段相對(duì)長(zhǎng)的時(shí)間。大量警報(bào)的根本生成原因相同,大部分警報(bào)由一

15、部分簽名產(chǎn)生。如果一個(gè)簽名長(zhǎng)時(shí)間內(nèi)觸發(fā)很多警報(bào),那么將來(lái)很可能繼續(xù)產(chǎn)生相同特征的類似警報(bào)。元警報(bào)歷史輔助處理到達(dá)的警報(bào),處理邏輯如下:If到達(dá)的警報(bào)簽名為S,來(lái)源于從A到BAND元警報(bào)M簽名為S,來(lái)源于從A到B ANDM是一個(gè)理想的感興趣警報(bào)THEN到達(dá)的警報(bào)是理想的感興趣警報(bào)。
　　為了提高子組件的效率和可擴(kuò)展性,刪除舊的、沒(méi)有被關(guān)聯(lián)的或者一段時(shí)間內(nèi)沒(méi)有與警報(bào)匹配的元警報(bào)。元警報(bào)關(guān)聯(lián)器發(fā)送新的元警報(bào),并且附加到元警報(bào)歷史中,如果

16、新的元警報(bào)與舊的類似,則取代舊的元警報(bào)。
　　警報(bào)-元警報(bào)歷史關(guān)聯(lián)器用來(lái)檢查預(yù)處理后的警報(bào)與警報(bào)歷史中警報(bào)的相似性。它以預(yù)處理的警報(bào)和元警報(bào)歷史最為輸入,輸出此警報(bào)是成功警報(bào)還是可疑警報(bào)。
　　步驟1:比較預(yù)處理的警報(bào)和元警報(bào)的口地址、端口和名稱。
　　步驟2:從元警報(bào)歷史中找出潛在的理想感興趣元警報(bào)。
　　步驟3:找出最能代表此警報(bào)的元警報(bào)。警報(bào)與每個(gè)潛在感興趣警報(bào)比較,選擇在IP地址、端口和姓名方面完美匹配的

17、元警報(bào)。
　　步驟4:如果步驟3中建立了完美匹配,成功的警告集成父理想感興趣元警報(bào)的特性,并且被發(fā)送到警報(bào)關(guān)聯(lián)階段。
　　步驟5:如果步驟3中沒(méi)有建立完美匹配,預(yù)處理的警報(bào)重復(fù)步驟2,找到潛在的部分感興趣元警報(bào)。繼續(xù)在步驟3中找到與此警報(bào)匹配最好的部分感興趣元警報(bào)。如果建立了完美的匹配,成功的警報(bào)集成父部分感興趣元警報(bào)的特性,并且被發(fā)送到警報(bào)關(guān)聯(lián)階段。如果沒(méi)有建立完美匹配,可疑警報(bào)發(fā)送到Alert-EVA數(shù)據(jù)驗(yàn)證器中。

18、>　　警報(bào)-EVA數(shù)據(jù)驗(yàn)證器通過(guò)驗(yàn)證警報(bào),并使用EVA數(shù)據(jù)來(lái)計(jì)算警報(bào)標(biāo)準(zhǔn),從而改善警報(bào)質(zhì)量。使用EVA數(shù)據(jù)為計(jì)算警報(bào)標(biāo)準(zhǔn)提供可靠的平臺(tái)。警報(bào)標(biāo)準(zhǔn)可以在相關(guān)性、嚴(yán)重性、頻率和警報(bào)源可信度方面準(zhǔn)確描述警報(bào)。此方法不消耗不必要的資源,而且此標(biāo)準(zhǔn)比之前的警報(bào)特征有更好的識(shí)別能力。
　　計(jì)算4種標(biāo)準(zhǔn):警報(bào)相關(guān)性、警報(bào)嚴(yán)重性、警報(bào)頻率和警報(bào)源可信度。警報(bào)相關(guān)性指出:關(guān)于網(wǎng)絡(luò)漏洞生成的警報(bào)的重要性。警報(bào)和EVA數(shù)據(jù)具有可比的數(shù)據(jù)類型,可以衡量?jī)?/p>

19、者的相似性。警報(bào)嚴(yán)重性指報(bào)警的攻擊的嚴(yán)重性。驗(yàn)證器根據(jù)優(yōu)先級(jí)(嚴(yán)重性)比較警報(bào)和EVA數(shù)據(jù)。警報(bào)頻率指給定時(shí)間內(nèi)由特定資源或者攻擊觸發(fā)的警報(bào)的發(fā)生次數(shù)。警報(bào)源可信度指組織基于過(guò)去性能分配給IDS傳感器的值。這個(gè)值反映給定傳感器有效識(shí)別攻擊的能力。因此可以用其預(yù)測(cè)一個(gè)傳感器未來(lái)的性能。
　　使用模糊邏輯基于警報(bào)標(biāo)準(zhǔn)確定不同警報(bào)的感興趣點(diǎn)。分類器有6個(gè)子分類器,分別處理6中不同的攻擊產(chǎn)生的警報(bào),如DoS、Telnet、FTP、Mysq

20、l、Sql和未分類的攻擊。未分類子分類器處理警報(bào)分類組件建立時(shí)沒(méi)有定義的攻擊。為了設(shè)計(jì)一個(gè)強(qiáng)大的模糊邏輯推理機(jī),定義了兩個(gè)模塊,一個(gè)用來(lái)定義所有輸入輸出參數(shù)的成員函數(shù),第二個(gè)模塊是設(shè)計(jì)模糊規(guī)則,產(chǎn)生輸入值的條件語(yǔ)句并且確定對(duì)輸出的影響。
　　警報(bào)分類的過(guò)程如下:
　　步驟1:分類器檢查警報(bào)的攻擊識(shí)別域確定給定警報(bào)分配給哪個(gè)子分類器,并且發(fā)送警告給相應(yīng)的子分類器。
　　步驟2:子分類器將警報(bào)放在形式-警報(bào)A中(警報(bào)相關(guān)、

21、警報(bào)嚴(yán)重性、警報(bào)頻率、警報(bào)源可信度)。例如輸入值表示如DoS(9,1,3,5),其中DoS代表攻擊所屬的組,9為相關(guān)性,1為嚴(yán)重性,3為頻率,5為源可信度。
　　步驟3:使用定義的成員函數(shù)模糊化輸入的標(biāo)準(zhǔn),建立成員度。每個(gè)輸入標(biāo)準(zhǔn)的成員函數(shù)是:相關(guān)度-低或者高,嚴(yán)重性-低、中或者高,頻率-低或者高,和源可信度-低或者高。
　　步驟4:推理機(jī)使用IFTHEN規(guī)則集處理輸入標(biāo)準(zhǔn)。
　　步驟5:所有輸出組合并且在一個(gè)單獨(dú)的模

22、糊集中,確定警報(bào)的感興趣值。模糊集被去模糊化,產(chǎn)生代表警報(bào)感興趣度的值。興趣值從0到10.
　　步驟6:子分類器使用感興趣值將警報(bào)放在正確的類中。如警報(bào)的興趣值為1,則被放在1類中。
　　步驟7:上面類中的警報(bào)進(jìn)一步排序,分成兩個(gè)超級(jí)類,仍然根據(jù)他們的感興趣值。如步驟4中提到的,興趣值是0到10.理想感興趣警報(bào)的興趣值至少為7,低于7則為部分感興趣警報(bào)。給警報(bào)分組的閾值可以根據(jù)網(wǎng)絡(luò)類型進(jìn)行調(diào)整。
　　步驟8:警報(bào)保存在

23、各自的類中,并且發(fā)送給警報(bào)關(guān)聯(lián)組件進(jìn)一步處理。
　　執(zhí)行實(shí)驗(yàn)顯示,元警報(bào)歷史子組件明顯的改善了所提系統(tǒng)的性能。子組件至少降低警報(bào)分類組件要處理的警報(bào)負(fù)載19%。即我們的警報(bào)管理系統(tǒng)不需要為元警告歷史能代表的警報(bào)計(jì)算警報(bào)標(biāo)準(zhǔn)和進(jìn)行分類,從而節(jié)省了資源如內(nèi)存、CPU和時(shí)間。同時(shí),警報(bào)分類組件也成功的根據(jù)警報(bào)標(biāo)準(zhǔn)對(duì)警報(bào)進(jìn)行分類。
　　(5)警報(bào)融合或警報(bào)關(guān)聯(lián)方法
　　警報(bào)關(guān)聯(lián)和警報(bào)融合代表相同的操作:將相關(guān)警報(bào)進(jìn)行融合。所提

24、框架的另一個(gè)新的特征是警報(bào)融合組件。不同類型的入侵都會(huì)引起IDS產(chǎn)生大量冗余警報(bào)。近年來(lái)多階段入侵的增加趨勢(shì),也使得冗余警報(bào)大量增加。雖然單階段入侵產(chǎn)生的冗余警報(bào)也是足夠多的,如端口掃描。另外一些攻擊可能觸發(fā)了單獨(dú)的警報(bào),但是與其他警報(bào)之間存在相互的邏輯關(guān)系。關(guān)聯(lián)幫助顯示警報(bào)之間的關(guān)聯(lián)性和邏輯聯(lián)系。由于需要對(duì)每個(gè)冗余的警報(bào)進(jìn)行評(píng)估,所以分析者需要花費(fèi)很長(zhǎng)時(shí)間才能了解安全事故的整體情況。結(jié)果,分析者不僅很難做出正確的決策而且拖延更長(zhǎng)時(shí)間響

25、應(yīng)警報(bào)。由于單獨(dú)警報(bào)的分析得到的是攻擊的局部信息,所以揭示攻擊的真正模式效率很低。我們決定降低不必要警告的值和相關(guān)警告的緊急度。
　　本文使用警報(bào)融合組件降低已驗(yàn)證警報(bào)的冗余性,并且用單獨(dú)的綜合警報(bào)表示,這個(gè)綜合警報(bào)就是元警報(bào)。此組件融合了單獨(dú)的代表攻擊每個(gè)階段的冗余警報(bào),幫助從整體上觀察入侵。警報(bào)融合器降低了特定時(shí)間窗內(nèi)相同攻擊的冗余警報(bào)的數(shù)量。警報(bào)融合之前將新警報(bào)的特性與之前的警報(bào)進(jìn)行比較。
　　警報(bào)融合器處理6個(gè)不同的

26、攻擊類,即DoS,FTP,Telnet,MySql,SOL和未定義的攻擊。為了提高效率,警報(bào)融合器有6個(gè)子融合器,分別處理代表6類攻擊的已驗(yàn)證警報(bào)。如:DoS子融合器處理DoS攻擊的所有警報(bào)。未定義攻擊子融合器不同于其他5個(gè)子融合器,它處理設(shè)計(jì)時(shí)沒(méi)有定義的攻擊產(chǎn)生的警報(bào),或者警報(bào)驗(yàn)證中不匹配各種攻擊類的警報(bào)。子融合器處理后的警報(bào)還需要分析者對(duì)其分析,從而更新EVA數(shù)據(jù)和警報(bào)融合器。定義每個(gè)元警報(bào)M如下:
　　·元警報(bào)攻擊類(M.C

27、lass)-警報(bào)代表的攻擊的類；
　　·元警報(bào)相關(guān)(M.Relevance)-警報(bào)的相關(guān)值；
　　·元警報(bào)創(chuàng)建時(shí)間(M.createtime)-元警報(bào)第一次被創(chuàng)建的時(shí)間戳；
　　·警報(bào)數(shù)量(M.Nbrealerts)-元警報(bào)中包含的警報(bào)的個(gè)數(shù)。每次將一個(gè)新警報(bào)融合到元警報(bào)中時(shí),都增加警報(bào)數(shù)量；
　　·元警報(bào)更新時(shí)間(M.updatetime)-元警報(bào)最后更新的時(shí)間,即最近一次警報(bào)融合到元警報(bào)中的時(shí)間；
　　

28、·元警報(bào)非更新時(shí)間(M.non-updatetime)-自從上次元警報(bào)更新到現(xiàn)在的時(shí)間,每次新警報(bào)融合進(jìn)入元警報(bào),都將此值設(shè)為1；
　　·元警報(bào)停止時(shí)間(M.stoptime)-元警報(bào)完全將警報(bào)融合的時(shí)間；
　　·元警報(bào)超時(shí)(M.Timeout)-元警報(bào)繼續(xù)等待其他警報(bào)的時(shí)間,不同攻擊類超時(shí)時(shí)間不同；
　　·占用周期時(shí)間(Ectime)-攻擊發(fā)生的時(shí)間,不同攻擊類占用周期時(shí)間不同；
　　·額外數(shù)據(jù),包括源地址(M

29、.Ipsrc和M.Portsrc)和目的地址(M.Ipdest和M.Portdest)
　　警報(bào)融合的過(guò)程如下:
　　階段1:警報(bào)融合組件根據(jù)警報(bào)的攻擊識(shí)別域確定將此警報(bào)發(fā)給哪一個(gè)子融合器,并發(fā)送出去。
　　階段2:子融合器使用給定警報(bào)的口地址(Alert.Ipsrc和Alert.Ipdest)確定潛在的元警報(bào)。
　　階段3:為了找到警報(bào)的最匹配的元警報(bào),子融合器比較警報(bào)和現(xiàn)有元警報(bào)之間的相似性。如下:
　

30、　·IP相似性-比較(Alert.Ipsrc,M.Ipsrc)和(Alert.Ipdest,M.Ipdest),如果IP地址匹配,設(shè)Ipsimilarity=1,否則設(shè)Ipsimilarity=0；
　　·端口相似性-比較(Alert.Portsrc,M.Portsrc)和(Alert.Portdest,M.Portdest),如果端口匹配,設(shè)Port similarity=1,否則設(shè)Port similarity=0
　　

31、·時(shí)間相似性-如果Alert.Time≥M.createtime且M.non-updatetime＜M.Timeout,那么設(shè)Timesimilarity=1,否則設(shè)Timesimilarity=0。
　　·關(guān)聯(lián)相似性-如果Alert.Relevance=M.Relevance,那么設(shè)Relevancesimilarity=1(匹配),否則設(shè)Relevance similarity=0(不匹配)。
　　階段4:如果找到匹配的

32、元警報(bào),就更新元警報(bào)。如:M.Nbrealetys增加。
　　階段5:如果沒(méi)有找到給定警報(bào)的元警報(bào),就創(chuàng)建一個(gè)新的元警報(bào)。產(chǎn)生新的元警報(bào)的細(xì)節(jié)。如M.Nbrealerts設(shè)為1,M.updatetime被更新,M.non-updatetime設(shè)為0,M.createtime為警報(bào)的時(shí)間戳,M.Class也被更新。新生成的元警報(bào)等待其他相關(guān)警報(bào)。
　　階段6:如果元警報(bào)的非更新時(shí)間小于元警報(bào)的超時(shí)時(shí)間,元警報(bào)繼續(xù)等待其他相關(guān)警

33、報(bào)。如果相關(guān)警報(bào)到達(dá),元警報(bào)更新它的內(nèi)容。
　　階段7:如果元警報(bào)的非更新時(shí)間等于或者大于元警報(bào)的超時(shí)時(shí)間,元警報(bào)的停止時(shí)間被更新,并且停止等待其他相關(guān)警報(bào)。
　　階段8:最后元警報(bào)被發(fā)送給分析者,分析者根據(jù)已知的信息作出決策。
　　M.Timeout保證必須的警報(bào)能夠融合到元警報(bào)中。ECtime參數(shù)保證特定攻擊的所有元警報(bào)都會(huì)產(chǎn)生。每個(gè)子融合器有自己的M.Timeout和ECtime,給定元警報(bào)的M.Timeout可

34、以小于它的ECtime,大部分不同攻擊階段的事件在占用周期早期產(chǎn)生,所以元警報(bào)不用等待整個(gè)占用周期。單階段攻擊的警報(bào)不適于設(shè)置很長(zhǎng)的M.Timeout,否則元警報(bào)會(huì)有很長(zhǎng)的延遲。另外,也許在所有攻擊階段執(zhí)行結(jié)束之前就已經(jīng)超過(guò)了攻擊的ECtime。當(dāng)然,這也構(gòu)不成此方法失效,因?yàn)樵瘓?bào)收集的信息向攻擊者展示了入侵執(zhí)行的行為,幫助攻擊者預(yù)測(cè)攻擊接下來(lái)的行為。我們的方法使用6個(gè)子融合器,每個(gè)子融合器處理特定攻擊類,簡(jiǎn)化了融合警報(bào)的過(guò)程。來(lái)自于

35、不同類的攻擊被很好的分離,產(chǎn)生更好的結(jié)果。使用未定義攻擊子融合器還可以發(fā)現(xiàn)新型攻擊。
　　為了評(píng)估框架的有效性,我們使用三個(gè)參數(shù):檢測(cè)率、準(zhǔn)確度和降低率。此框架在減少非相關(guān)警報(bào)方面非常有效。準(zhǔn)確度達(dá)到96.1%,檢測(cè)率是92.6%。我們的系統(tǒng)能夠改善Snort警報(bào)的準(zhǔn)確度至少達(dá)到80%,最少的影響Snort的檢測(cè)率。在降低率方面,所提框架的降低誤報(bào)率為78.2%。另外降低冗余警報(bào)率為52.4%。所提方法也提供了更好的性能。通過(guò)降低

36、已驗(yàn)證警報(bào)的冗余警報(bào),幫助分析者做出正確的決策。而且根據(jù)警報(bào)的相關(guān)性分組,幫助分析者關(guān)注最重要的警報(bào)。從結(jié)構(gòu)方面考慮,此架構(gòu)非常高效且容易實(shí)現(xiàn)?？梢詰?yīng)用到其他基于簽名的IDS中,不需要構(gòu)建默認(rèn)簽名。從精確度考慮,此框架具有更高的精確度。
　　綜上昕述,本文的貢獻(xiàn)如下:
　　·構(gòu)建加強(qiáng)的脆弱性評(píng)估(EVA)數(shù)據(jù)。EVA數(shù)據(jù)在深層次和動(dòng)態(tài)威脅輪廓代表了網(wǎng)絡(luò)中所有的脆弱點(diǎn)。EVA數(shù)據(jù)用來(lái)評(píng)估警報(bào)和警報(bào)發(fā)生的情況。EVA數(shù)據(jù)也幫助改

37、善警報(bào)的語(yǔ)義從而達(dá)到足夠的等級(jí)。
　　·與之前的警報(bào)特征相比,添加了警報(bào)相關(guān)性、嚴(yán)重性、頻率和源機(jī)密性的新標(biāo)準(zhǔn),從而改善了警報(bào)的語(yǔ)義,在評(píng)估警報(bào)時(shí)提供了更好的區(qū)分能力。
　　·維持警報(bào)歷史信息,包含最近的和經(jīng)常出現(xiàn)的元警報(bào)。警報(bào)歷史輔助處理到達(dá)的相關(guān)警報(bào),從而提高了處理速度。
　　·警報(bào)關(guān)聯(lián)引擎降低大量已驗(yàn)證警報(bào)中的冗余和孤立警報(bào),冗余警報(bào)是由相同入侵的不同階段產(chǎn)生。此引擎幫助分析者快速理解整個(gè)安全事故并做出正確的決定