入侵檢測(cè)警報(bào)綜合分析方法的研究與實(shí)現(xiàn).pdf

1、入侵檢測(cè)系統(tǒng)(Intrusion Detection System,IDS)對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視,并對(duì)其中可疑傳輸發(fā)出警報(bào)。然而,在計(jì)算機(jī)網(wǎng)絡(luò)攻擊手段的日益復(fù)雜、大規(guī)模協(xié)同攻擊層出不窮的形勢(shì)下,IDS的局限性日益凸顯:警報(bào)數(shù)量巨大,漏報(bào)誤報(bào)率較高,警報(bào)層次較低,且彼此孤立。因此,現(xiàn)階段IDS較難為安全分析人員直接有效的利用,對(duì)IDS產(chǎn)生的警報(bào)數(shù)據(jù)做進(jìn)一步關(guān)聯(lián)分析顯得越來越重要?；谝蚬P(guān)系的警報(bào)關(guān)聯(lián)方法是其中最具代表性的方法之一。但是

2、很多情況下,這種方法對(duì)于連續(xù)的協(xié)同攻擊,難以產(chǎn)生完整的攻擊場(chǎng)景圖,而是由于種種原因被分散為若干個(gè)子場(chǎng)景圖,此外,常見因果關(guān)聯(lián)方法無法及時(shí)處理較大規(guī)模警報(bào),因此可用性較差,無法實(shí)際部署應(yīng)用。
　　針對(duì)上述局限性,本文提出并實(shí)現(xiàn)一種采用攻擊策略圖的警報(bào)綜合分析方法。首先,通過分析大規(guī)模協(xié)同攻擊及入侵檢測(cè)警報(bào)數(shù)據(jù)的特點(diǎn),建立一種攻擊策略圖模型作為先驗(yàn)知識(shí)庫;其次,基于上述知識(shí)庫提出并實(shí)現(xiàn)多種入侵檢測(cè)警報(bào)分析方法,主要方法涉及完整攻擊場(chǎng)景