入侵檢測系統(tǒng)告警分析與關聯(lián)方法研究.pdf

1、隨著網絡在日常生活中應用范圍的逐步擴大，網絡的安全和可靠越來越為人們所重視。在所有網絡安全機制中，入侵檢測系統(tǒng)已經與諸如加密認證和訪問控制等基于防御的安全機制一起成為保護網絡免受惡意攻擊的第二道防線。然而，傳統(tǒng)的入侵檢測系統(tǒng)存在兩大缺陷。首先，它們產生的主要是針對攻擊或者異常的低層次告警，并且它們產生告警的過程是獨立的，這樣各個不同的入侵檢測傳感器產生的告警可能存在冗余信息或者告警間互相存在邏輯關聯(lián)。其次，傳統(tǒng)的入侵檢測系統(tǒng)所產生的告警

2、信息中存在大量的虛假告警，它們與真實的告警信息相互混雜，并極大的增加了告警數量。包含重復告警和虛假告警的大量告警信息可以導致系統(tǒng)管理員不堪重負，并使他們不能充分的了解和掌握網絡的安全狀況并及時做出恰當反應?；谏鲜鲇^察，作者的主要工作集中于對入侵檢測系統(tǒng)所產生的告警信息的分析和關聯(lián)方法研究。本文首先介紹了當前告警信息分析和關聯(lián)所采用的主要方法，分析了利用告警間邏輯關系來進行告警分析和處理的工作原理，并針對它們存在的缺陷提出了相應的改進方

3、法。其次，由于傳統(tǒng)的告警分析和關聯(lián)方法利用有關告警信息間已知邏輯關系的已有知識來進行處理，因此傳統(tǒng)的告警關聯(lián)方法無法處理新的告警信息或者已知告警信息之間新的關聯(lián)關系。本文據此提出將信息論的方法應用到告警分析和關聯(lián)中，這樣可以不必依賴于預先定義的告警間邏輯關系來進行告警分析和關聯(lián)。最后，本文采用美國麻省理工學院林肯實驗室發(fā)布的DARPA1999數據集合對告警分析和關聯(lián)方法的性能進行了實驗驗證。實驗結果表明該方法能夠有效的發(fā)現告警之間存在的