防网络攻击警报信息实时融合处理技术研究与实现
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
31事件归约 .
311合并重复关 系警报 ..
合并来 自相同传感 器的 重复警报 。lv l 层格 式统 ee1
一
基础 上的警报信息 实时融合处理 系统 的实现方 法,并给 出了
该系统的测试结果。
二 一二 I 一 二 二~ ~并二 —- 二 攻二 二 多 二 团 U _ 冈 厂 网二 一 二对 二
0引言
在大规模 网络 中进行分布式入侵 检测和网络安全预 警往往需要采用多个异构 I DS相互协作以检 测各 种复杂攻击 ,但 是必须
解 决 以下 问题 :
1 )来 自不同厂家不同类型的 I S采用的警报格式不尽 相同,为警报信息的共 享和进一步分析带来 困难 ;2 D )在分布式入侵检
测环境中, 自 来 底层 I S D 传感器的警报数量众多,其中还混杂着大量的重复、冗余信息,给分析工作带来困难 ; ) 3 受到本身的
b id m o e it g ae ta k s e a i . pei e a e u t h w h tt er a.i ef in s se n t i de u l r n e rt d atc c n ros Ex rm ntlr s lss o t a e 1tm uso y tm o smo l h h
●
收稿时间 : 0 1 0 — 0 2 1— 6 1 基金项目: 国家”8 3 高技术研 究发展 计划资助项 目( 0 9 0 Z4 2 6” 2 0 AA 1 3 )
作者 简介: 段祥 雯( 9 3 ) 17一 ,女,湖 南,工程 师,讲师,硕 士,主要研 究方 向:网络 与信息安 全、计算机应 用 ; 兵 ( 99 ) 杨 17 一 ,男,江 西, 博 士研 究生,主要研 究方向 :网络 与信息安全 ;张怡 ( 93 ) ,四川,副研 究员,博 士,主要研 究方向 : 17 一 ,女 信息安全。
关键词:入侵检测;警报关联 ;警报融合 中图分类号:T 330 文献标识码 :A 文章编号:17 — 12( 01 7 0 5 — 4 P9. 8 6 1 12 2 1 )0 — 0 10
TheN ew o k ta kAl r e 1tm eI o m a i n Fuso t r A t c a m R a .i nf r to in
i - - i[
有 提 具体 的实现 方案 ;在 多传感 器数 据融 合的实 现方面,
— —
警报流
l
I
… … … … … … 一
f— —L、
一 … … … … … 一
j
E R L ME A D系统 _ 4 对于可能来自 多个异构传感器 的警报信息, 采用基 于概 率的算法计 算两个警报 的属性相 似度,再根 据总
wo k fe t ey ih s i ha c rc dh g lr d ci nr t . r se ci l ,t a g c u a y a iha a r u t e v h n m e o a
K e wo ds I tu i nd t cin;Alr o r lto y r : n r so e e to e c reai n;A lr so t e t in u f
检测技 术或所处的检测位置 的局限,D I S传感器存在误报 ( 错误 的将所保护系统 中的良性 行为识别为人侵并产生警 报 ) 和漏报 ( 对
部 分针对系统的入侵不能识 别 、报警 )问题 ,容易对入侵检测分 析和预警 产生误 导 ; ) 4 人侵行为之 间往往不是孤 立 的,通常具
有—定的联系, 这决定了其所触发的警报之间也存在着复杂关系。发现这些关系,对于分析人侵行为,发现人侵企图,进行网络 预警, 有着重要意义。而来 自 底层 IS D 传感器的警报自 身并未呈现其间的种种联系。
t o fo tmu t s n o aaf so c n q e r t d e i P p r B s d o ea ay i o a iu o lx 0 c nr n , l . e s r t i n t h i u s esu idi t s a e. a e n t n l ss f ro sc mp e i d u e a nh h v r lt n h p f DS aet, h s a e r s n sa lr f r t n r a. me f s n mo e . lr f r ai n eai s iso lrs ti p r ee t ae si o mai e 1t i d 1 An ae si o o I P p n t n o i u o t n m t o r a. me f so y tm a e n i i r ai e . ih C e l i s lr sfo v ro sh t r g n o sI e1 i ins s t u e b s d o e l d wh c a r a— me f eaa tS z n t u m m ai u eeo e e u DS r s n o s g n r t t c e u n ev e a o tnr so e au t ra e n r d c o e t l t c s F rh r o e e s r, e e eat k s q e c i w b u t in,v l aet e tn a dp e it tn i t k . u t e a a i u h p a aa m r, h ci fr s nn as n g t s nr d c d whc i t d c d es f t fmis d a e n t ef n t n o a o i g f l e a ie i ito u e , ih amsa e u e a v r ee fc so se lrsa d u o e e v r e t
Absr c : e oletepr lm ih dsrb e nr so ee to a ew o katc an n yse h s t a t Tor s v obe wh c itiutdi tu in d t cin ndn t r t kw r i gs tm a h a
21年第0 期 01 7
融合模型一—J DL功能模型 [1 B s 则基于 J L提 出‘一个 1o as , 2 D 了 。
入侵检 测数 据融合模 型 ,这个模 型将 分布式入侵检 测任务 ] 理 解为在层次化模型 下对 多个传感器 数据 的综合 问题,入侵 检测数 据的融合可以理解为若干级 别的数据提 炼。在这个层 次化模 型 中,入侵检测的数 据源经历 了从数据 (aa到信息 Dt )
的相似 程度来 融合两个警报 ,通常就是将两个警报 的詹 I 生进
…
…
一
、
—
—
—
—
图2 警报信息实时融合处理模型示意图
行 合并。基于相似度 关联 的缺 点是所分析 比较 的警 报信息必
须 具 有共 有属性 ,此外 ,它不能 发现 警报 之 间的因果关 系 ; MI AD R R O 设计 的 C 1 R M关联检 测模 型是利用一个协同组件 来 实现多个 I 之 间的协 同,所提出实现方案对 警报 的融合 DS 处 理是定期 的,不保证系统的实 时性 。 为了克 服上述不足,本文在研究数据融合技术 的基础上 , 提出卜 个警报信息融合处理模 型。面向警 报流进行处理 ,能 够根据警报信息 问的复杂关系 , 实时融合来 自异构 I S D 的警报 , 发现并 实施警报 之间的因果关联 。文 中给 出了建立在该 模型
( fr ain 再到知识 ( n we g) I om t ) n o K o ld e三个逻辑抽象层 次。该模 型为数 据融合在人侵 检测方面 的应用 提供了很 好的思路,但 仅 提 出了功 能 层 次 以及 各层应 满 足的处 理 功能 需 求 ,并没
l l
;
i
化 i
可见, 业界亟需研究相关的技术以自 动分析处理来 自 多个异构 IS D 的警报信息, 消除重复、 冗余警报, 分析警报之间的复杂关系, 减少误报和漏报带来 的影响,为管理人 员提供关于人 侵行为的高层次视 图, 评估 网络威胁 、预测攻击行为, 辅助决策 和响应。 数据 融合 最早应用于军事,美 国国防部成立的 J L( it i c r o Lbrt i ) D J n Dr t s f ao o e 数据融合工作组提出了一 意义下的数据 o e o ars 般
Pr c si gTe h o o y Re e r h a d I lm e t to o e sn c n l g s a c n mp e n a i n
DUAN a g we . ANG n . Xin — n Y Bi g ZHAN G
( col C m u r c ne ai a U i r oDfne ehoo ,h nsa ua 103C / ) Shoo o p t Si cN t nl n e f e s cnl y C agh H nn407, h a f e e o vs e T g n
实时融合处理技术研究 与实现
在分析 I 警报信 息之间的各种复杂 关系的基础上 , 出了一个警报信 息实时融合 处理模 型 ,并根 据该模 型建立 DS 提 警报信 息融合 处理 系统。 实时融合来 自多异构 I 传 感器的警报信 息,形成 关于入侵 事件 的攻击序 列图 ,并在此 DS 基础 E 进行 成胁评估及攻击预测 。该模型 中拓展 了漏报推 断功能 ,以减 少漏报 警带来的影响 , 使得 到的攻击场景 更为 完整。 实验结果表明 ,根据 该模型建 立的融合 处理 系统应 用效 果好 ,具有很 高的准确率和 警报 缩减 率。
21年第O 期 1 7
■ d i1.9 9. s 6 112 .0 1 7 1 o:03 6  ̄i n17 -122 1. . 8 s 00
防 网 络 攻 击 警 报 信 息
段祥 雯 ,杨兵 ,张怡
(国防科 学技 术 大学计算机 学院 ,湖南长 沙 4 0 7 ) 10 3
摘 要: 针对 分布 式入侵检测和 网络安 全预 警所需要 解决的 问题 , 文章 对多传 感器数据 融合 技术进行 了研 究。
化处 理 后 的警 报 进 入警
1警报之间的复杂关 系
入侵事件之 间的复杂 关系决定了其 触发的 I S警报之 间 D
报 队列 ,定 义时间窗口 Tm Widw( i e no 可设 为 2秒 ) 算法如下:
3警报信 息实时融合处理 系统实现
以下描述了基于该模型 建立的警报信息实时融 合处
理 系统 主要 部 件 的实 现方 法。表 1 给出了文 中所提及 的属性及其含义 。
表1属性名及含义对照表
属性名称 属性 代表的含义 s ie tm T 攻击 开始时 间 edie n Tm 攻击结束时 间 a a z 产生警报的 I S nle yr D 传感 器 ar d l mI a 警 报唯一性标 识符 r r e 所引用警 报的 aa d lr mI Ca t On 警 报计数 ScP rl 攻击源 l P地址 Sc ot rPr 攻击源端 口地址 D sP e I t 攻击 目 I 的 P地址 D s 0I et r P 攻击 目的端 口地址 Tm Sa p iet m 警报 时间戳 警报名