入侵檢測(cè)的分級(jí)告警關(guān)聯(lián)理論和技術(shù)研究.pdf

1、隨著黑客攻擊手段和技術(shù)的日益復(fù)雜化、更具隱蔽性和分布式發(fā)展,入侵檢測(cè)在大規(guī)模分布式系統(tǒng)中的應(yīng)用越來(lái)越受到關(guān)注,分布式系統(tǒng)的異構(gòu)性和自治性以及傳統(tǒng)入侵檢測(cè)系統(tǒng)自身的缺陷使得重復(fù)性的、不完善的或不完整的告警數(shù)據(jù)大量泛濫,系統(tǒng)管理員難于控制和管理告警數(shù)據(jù),導(dǎo)致漠視告警,產(chǎn)生極高的誤報(bào)率和漏報(bào)率,入侵意圖的識(shí)別也變得更加困難,從而不能及時(shí)對(duì)入侵作出相應(yīng)反應(yīng),給系統(tǒng)帶來(lái)巨大的損失.告警關(guān)聯(lián)技術(shù)是解決上述問(wèn)題的一種有效方法.目前的告警關(guān)聯(lián)技術(shù)雖然取

2、得了一定的進(jìn)展,但它們還存在許多急需改進(jìn)的地方,例如,不能同時(shí)處理各種特征混合的告警關(guān)聯(lián);關(guān)聯(lián)結(jié)果不能識(shí)別真正攻擊意圖;沒(méi)有考慮丟失告警數(shù)據(jù)的恢復(fù)以及缺乏后關(guān)聯(lián)機(jī)制等.故離問(wèn)題的解決仍有很大的距離.分級(jí)告警關(guān)聯(lián)理論和技術(shù)的提出可以有效地解決上述問(wèn)題.分級(jí)告警關(guān)聯(lián)由三個(gè)關(guān)聯(lián)處理層構(gòu)成,即原始事件歸約層、原子事件關(guān)聯(lián)層和攻擊意圖識(shí)別層.告警數(shù)據(jù)分布式的特點(diǎn)使得同一攻擊事件可能給出了若干個(gè)告警,導(dǎo)致重復(fù)性告警數(shù)據(jù)的泛濫,原始事件歸約層采用實(shí)時(shí)

3、歸約算法,通過(guò)實(shí)時(shí)搜索并匹配給定時(shí)間間隔內(nèi)的告警數(shù)據(jù)的各特征(AttackName,Source,Target,Service)進(jìn)行合并和歸約,可以有效地精簡(jiǎn)重復(fù)性告警數(shù)據(jù).攻擊意圖識(shí)別層又稱為后關(guān)聯(lián)層,它有兩個(gè)作用,第一:試圖找回丟失的關(guān)鍵告警,使得目前斷連的、但實(shí)際卻是關(guān)聯(lián)的告警數(shù)據(jù)可以關(guān)聯(lián),從而提高攻擊場(chǎng)景的重構(gòu)率.第二:對(duì)于攻擊行為隸屬多個(gè)不同攻擊場(chǎng)景,但最終攻擊意圖不明的情形則使用對(duì)抗式規(guī)劃識(shí)別模型來(lái)選擇最優(yōu)攻擊場(chǎng)景路徑,以較

4、準(zhǔn)確地解讀攻擊意圖.使用規(guī)劃求解方法對(duì)攻擊過(guò)程(即攻擊場(chǎng)景)建模,并用違背安全策略的系統(tǒng)狀態(tài)對(duì)攻擊意圖建模,引入虛擬告警表示丟失的告警數(shù)據(jù),并使用實(shí)時(shí)因果關(guān)聯(lián)算法和基于概率傳播和更新算法的貝葉斯網(wǎng)推理模型完成了上述功能.實(shí)例表明所提出的算法能較準(zhǔn)確地定位攻擊意圖、理解攻擊策略.使用MIT Lincoln Lab給出的2000 DARPA LLDOS1.0和Shmoo Group收集的DEFCON 8 CTF數(shù)據(jù)集分別對(duì)分級(jí)告警關(guān)聯(lián)算法進(jìn)