IDS中告警關(guān)聯(lián)分析引擎的研究.pdf

1、互聯(lián)網(wǎng)為信息共享和交互提供了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也日益明顯。作為一種主動的信息安全保障措施，入侵檢測已經(jīng)與諸如加密認證和訪問控制等基于防御的安全機制一起成為保護網(wǎng)絡(luò)免受惡意攻擊的第二道防線。然而，傳統(tǒng)的入侵檢測系統(tǒng)存在的三大缺陷：誤警率過高，告警量過大，告警所包含的信息過少，導(dǎo)致系統(tǒng)管理員不堪重負，并使他們不能充分的了解和掌握網(wǎng)絡(luò)的安全狀況以便及時做出恰當(dāng)?shù)姆磻?yīng)。因此，如何對告警進行再分析和再組織，消除冗余告警、組合瑣碎

2、的告警，成為入侵檢測領(lǐng)域急需解決的問題。為了解決上述問題，告警的關(guān)聯(lián)分析逐漸成為該領(lǐng)域的研究重點。 本文首先分析了入侵檢測系統(tǒng)中告警的特點，在此基礎(chǔ)上，將告警關(guān)聯(lián)分析方法分為兩類(針對冗余關(guān)系和針對時序關(guān)系的告警分析方法)，并給出了入侵檢測系統(tǒng)下的告警關(guān)聯(lián)分析引擎的設(shè)計方案。該方案共分為四步：消除冗余告警，將具有時序關(guān)系的告警合并為一個告警，對告警評定優(yōu)先級，最后將告警按優(yōu)先級順序交給安全管理員。 其次，本文對目前較為成

3、熟的針對時序關(guān)系的告警關(guān)聯(lián)分析算法(基于攻擊序列模板和基于因果關(guān)系的告警關(guān)聯(lián)分析算法)進行了分析與比較。由于它們在告警缺失時很難完整的分析出告警的關(guān)聯(lián)關(guān)系，本文提出了一種基于規(guī)則的動態(tài)告警關(guān)聯(lián)分析算法，并通過模擬實驗驗證了該算法的有效性和效率。 最后，本文引入“代價敏感”的概念，提出了基于代價敏感的告警關(guān)聯(lián)分析算法。通過建立代價模型，計算告警的危害代價和響應(yīng)代價，并根據(jù)它們確定告警的優(yōu)先級，提高安全管理員的工作效率。目前判斷告警