IDS告警信息关联分析技术---优秀毕业论文参考文献可复制黏贴

国内图书分类号:TP393.08
国际图书分类号:681.3
工学硕士学位论文
（同等学力人员）
IDS告警信息关联分析技术
硕士研究生：张玥
导师：李斌教授
申请学位：工学硕士
学科、专业：计算机科学与技术
所在单位：哈尔滨工业大学
答辩日期：2006年10月25日
授予学位单位：哈尔滨工业大学
Classified Index:TP393.08
U.D.C:681.3
Dissertation for the Master Degree in Engineering
Alert Of Intrusion Detection System
Correlation And Analysis Technology
Candidate: Zhang Yue
Supervisor: Prof. Libin
Academic Degree Applied for: Master of Engineering Speciality: Computer Science And Technology Affiliation: Harbin Institute of Technology Date of Defence: October，2006
Degree-Conferring-Institution:Harbin Institute of Technology
哈尔滨工业大学工学硕士学位论文
摘要
互联网的发展为全球范围内实现高效的资源和信息共享提供了方便，同时也对网络安全防护提出了新的挑战。

网络入侵检测技术作为一种积极主动的安全防护技术正成为目前网络安全领域中研究的热点。

但是当前这些网络入侵检测系统正面临着严重的信任危机，如何有效地降低漏报率和误报率成为入侵检测领域亟待解决的关键问题。

针对当前入侵检测系统普遍存在的告警层次较低，仅能反映简单琐碎的攻击片段等问题，提出了一种基于多种分析方法的，融合了聚类分析和数据挖掘方法来进行宏观分析。

攻击者完成一次复杂的攻击需要进行多个步骤，这些步骤之间会存在一些因果联系，前一步骤是为后一步骤做准备工作，通过对攻击情境建模，便可以在看似差别很大的报警事件间建立起报警关联，将多个报警事件联系起来，从而还原出真实攻击的原貌，达到从大量低层次报警事件中检测出多步骤攻击的目的。

本文便是采用这种基于先决条件的关联思想，以着色Petri 网（Colored Petri Nets, CPN）为理论背景，发展出一种通过采用CPN建立攻击模板来对攻击情境建模，从而关联多步骤攻击的方法，并用实验证明了以该方法实现的系统的可用性及对不同规模数据的适应性。

系统对告警信息再分析和再组织，消除冗余的信息并组合琐碎的告警事件，从而实现了精简的高层告警视图。

试验结果表明，本系统改善了传统IDS检测到异常就立即产生告警的工作模式，最终达到了告警精简、攻击模式发现，分辨攻击轨迹的目的，为进一步研究攻击者的入侵策略、构建攻击场景打下坚实的基础。

关键词入侵检测；数据挖掘；聚类分析；告警融合；着色Petri网
I
哈尔滨工业大学工学硕士学位论文
Abstract
With the rapid development of Internet, sharing the global resource and information is becoming more and more efficient, meanwhile , it also brings new challenge to network secureity protection. Network intrusion detection techniques are becoming the research hotspot in the field of network secureity as an active secureity defending techniques. But curren IDSs are facing the serious problem of creditability crisis. How to reducee false positive and false negative effectively becomes the most significant issue in the field of intrusion detection.
It is common among IDS that only simple and trivial attacks fragmentations can be presented and the alarming levels are relatively low, introduceing macro analysis method based on fusion analysis and data mining.
It takes more than one step to accomplish a complicated attack. There will be some causal link between these steps. The previous one’s purpose is to get prepared for the next one. We can set up alert correlations between the alerts which seemed that they have a great gulf between them by modeling the attack scenario, and correlate these alerts together. Thus, it will rebuild the attack’s real scenario, and we can detect the multi-step attacks from the large low-level alerts.The paper applies the idea which is based on the prerequisite condition, and uses the CPN (Colored Petri Nets) as its theory background. With the idea and the theory mentioned above, we developed a method to correlate the multi-step attacks, which model the attack scenario by setting up attack template with CPN. We have proved the system which is based on the method above by some experiments, and it performs well.
This Paper re-analysis and re-organize alert log, erase redundant log and aggregate trial alert event, get reduced high-level alert view. Test demonstrate, it arrive at the goal to eliminate the non- relevant alerts, and find alerts association mattern, search attack track, provide direct foundation for deep analyzing attacker’s intrusion policy and constructing attack scenario.
Keywords Intrusion Detection System; Data Mining; Cluster Analysis; Alert Fusion; Colored Petri Net
II
哈尔滨工业大学工程硕士学位论文
目录
摘要 (I)
Abstract (II)
第1章绪论 (1)
1.1课题背景 (1)
1.2 入侵检测日志的关联技术 (3)
1.2.1 基于规则推理的告警关联 (3)
1.2.2 基于案例推理的告警关联 (4)
1.2.3 概率关联关联方法 (4)
1.2.4 基于先决条件的关联方法 (4)
1.2.5 Hyper-Alert方法 (5)
1.2.6 其他方法 (5)
1.3 数据挖掘在网络安全领域的应用 (6)
1.4 着色Petri网 (7)
1.5 本文的主要内容 (9)
第2章告警日志的多层次关联设计 (10)
2.1 后入侵检测的告警关联分析 (10)
2.2 多层次的关联分析总体结构 (11)
2.3 数据挖掘算法 (12)
2.3.1 告警日志中的知识发现 (12)
2.3.2 关联规则挖掘过程 (13)
2.3.3 聚类分析算法分类 (15)
2.4 本章小结 (17)
第3章基于聚类和关联的宏观分析 (18)
3.1 告警日志的宏观分析 (18)
3.2 针对告警日志的多种聚类分析 (18)
3.3关联分析算法 (20)
3.3.1 Apriori频繁项集挖掘算法 (20)
3.3.2 FP-Growth算法 (25)
3.3.3 关联规则挖掘在告警中的应用 (28)
VI
哈尔滨工业大学工程硕士学位论文
3.4本章小结 (29)
第4章攻击轨迹获取技术 (30)
4.1 攻击链分析 (30)
4.2 攻击链分析子系统框架 (31)
4.3 攻击链分析子系统流程 (32)
4.3.1 攻击模板生成模块 (34)
4.3.2 攻击模板的实例 (35)
4.4 攻击模板的定义 (37)
4.4.1 攻击模板 (37)
4.5攻击模板关联技术 (38)
4.5.1 CPN算法描述 (38)
4.5.2 CPN算法数据结构 (39)
4.5.3 CPN算法性能分析 (42)
4.6关联记录处理 (43)
4.6.1 性能瓶颈 (43)
4.6.2 解决方法 (43)
4.7 本章小结 (43)
第5章系统实验及结果分析 (45)
5.1 需求规定 (45)
5.2 运行环境 (45)
5.3 数据接口 (45)
5.3.1 数据库接口 (45)
5.3.2 数据说明 (45)
5.4 运行结果 (47)
5.5本章小结 (49)
结论 (50)
参考文献 (51)
攻读学位期间发表的学术论文 (57)
哈尔滨工业大学硕士学位论文原创性声明 (58)
哈尔滨工业大学硕士学位论文使用授权书 (58)
哈尔滨工业大学硕士学位设密论文管理 (58)
致谢 (59)
个人简历 (60)
VII
哈尔滨工业大学工学硕士学位论文
第1章绪论
1.1课题背景
本文受国家网络与信息安全保障持续发展计划发展计划项目（编号：2005-A33）资助。

在信息化社会中，随着计算机通信网络在政治、军事、金融等方面的作用日益增大，社会对计算机网络的依赖也日益增强。

特别是Internet的出现，网络上各种新业务的兴起，比如电子商务、电子现金等，以及各种专用网的建设，网络己经成为社会和经济发展的强大动力。

然而伴随着计算机网络的飞速发展，也产生了各种各样的问题，其中安全问题尤为突出。

与网络入侵等安全问题出现的同时，各种保障网络信息安全的体系框架和技术手段不断地涌现出来，极大地提高了网络的安全性，有效地阻止了入侵与病毒事件的发生与蔓延。

入侵检测系统就是其中最有效的技术之一，正受到普遍关注。

入侵检测通过实时跟踪网上和主机数据来检测非法入侵行为，并根据检测结果实时报警、响应，达到主动发现入侵活动的目的。

它是对付网络入侵的重要工具，是动态安全技术的最核心技术之一。

网络安全事件发生频繁，虽然入侵检测系统、防火墙、漏洞检测及评估起到了一定的作用，但网络整体的安全状况还需要进一步处理，比如攻击源的追踪、网络态势的分析都需要对入侵检测结果来进行深层次的分析。

传统入侵检测系统在不断提高检测能力，扩大检测范围的同时，也暴露出这样一些问题：
1、互操作问题[1]：
z不同的入侵检测系统之间不能互操作。

某些入侵活动(比如协同攻击)靠单一IDS不能检测出来，入侵检测系统的内部各部件缺乏有效的信息
共享和协同机制，限制了入侵检测系统对攻击的检测能力；
z不能和其它网络安全产品互操作。

网络安全要求IDS能够与访问控制、应急、入侵追踪等系统交换信息，相互协作，形成一个整体有效的安
全保障体系。

但由于IDS缺乏一个统一的标准如数据交换格式、协作方
式等方面的指导，使得入侵检测系统不能很好的和其它安全产品协
作。

2、报警问题[2]：
z缺乏对于攻击的精确描述能力。

缺乏对于攻击的精确描述能力是现有
1
哈尔滨工业大学工学硕士学位论文
IDS产生误报与漏报的主要原因之一。

现有的一些攻击描述方法不严密
导致对攻击的描述有可能覆盖某些正常的网络行为，而且根据这些攻
击描述不能检测出新的攻击或己知攻击的变种，从而引起误报和漏
报；
z冗余报警问题[3]。

短时间内入侵检测系统就可以产生上千条报警，其中存有大量非法报警、重复报警，这不仅对IDS性能造成严重影响，也
使安全管理员无法区分哪些是更重要的报警信息而变得手足无措。

这
种情况在基于IDS的网络安全预警系统的报警融合中则更为严重；
z误报、漏报问题[8]。

单独使用误用或异常检测技术会导致较高的漏报率或误报率。

特别是就大多数攻击而言，很难从单一报警判断或识别
其攻击意图，这就需要综合不同检测技术的IDS报警，建立多报警信息
的融合机制，把存在逻辑关系的多个报警关联起来，捕捉隐藏在这些
攻击背后的逻辑步骤和策略，从而降低误报率和漏报率；
z报警关联输出问题[6]。

目前，对于报警关联输出形式还没有一个统一的标准，这就导致了报警管理人机界面易用性问题，增加了安全管理
人员管理和分析报警的难度。

这些问题严重阻碍着入侵检测技术的发
展，急需在这些关键技术方面有较大的突破。

产生上述问题的原因在于大部分入侵检测系统局限于通过原始数据去发现局部或者单独的攻击行为，而很少涉及对这些简单攻击事件之间的深层逻辑联系和复杂攻击意图的分析，从而在系统响应的主动性、实时性方面暴露出明显的不足，入侵检测的后处理研究已经成为目前国内外安全领域的研究重点。

目前入侵检测系统所检测到的大多为低级别的攻击，不能让管理人员快速的了解一次入侵行为的全貌，为了解决这个问题，近年来，入侵检测系统的发展已经从着重提高正确率，效率，转移到了将攻击关联[7]，以便可以得到一次大规模攻击的全貌。

换而言之，将低级别的攻击关联起来，已经成为网络安全研究的重点之一。

为了使安全管理人员能够更高效地从报警信息中分析得出更高层次的信息，如攻击的地域分布、时间分布、攻击者或受害者的特征等，我们便需要将多个攻击（报警信息）关联起来，得到更高级别的报警信息，比如，一个黑客对目标主机进行DoS攻击[9]，由IDS产生的报警信息只是诸如“主机扫描”、“后门连接”这样的事件，而且数量巨大，而经过关联分析，这些都可以合并为一次DoS攻击。

这样，就能使我们的预警系统能够更宏观地监测目标网络，而且也大大减轻了安全管理人员的负担，提高了工作效率。

同时，一个多步骤攻击情景可以使用不同的手法达到最终的目的，单一的攻击可
2
哈尔滨工业大学工学硕士学位论文
以使用类似的其它方法来代替，而不影响最终的攻击目的，于是我们的研究重点就要落实于如何利用模板化的方法来定义一个多步骤攻击的模板。

最后，利用此模板，我们可以自动的检测出可以达成相同的攻击结果的不同的攻击关联手段。

1.2 入侵检测日志的关联技术
随着Internet的飞速发展，入侵检测技术越来越受到人们的关注，并成为动态安全技术中的核心技术。

入侵检测系统可以对系统或网络资源进行实时检测，及时发现系统或网络所遭受的入侵，也可预防系统用户对系统的滥用。

入侵检测系统分为误用检测和异常检测。

基于误用的入侵检测系统[17]首先建立一个包含各种已知网络入侵方法和系统缺陷的入侵模式数据库，然后再收集到的网络活动信息中寻找与数据库项目匹配的线索。

若匹配成功则入侵发生，否则即为正常数据。

异常检测方法首先建立网络和主机系统的一些正常运行的描述模式，如网络数据报文的流量、CPU使用率、内存使用率等，然后将系统当前的描述模式与设立的正常描述模式进行比较，如果观测到的测量值偏离度超出设定阈值的情况则作出响应。

误用检测有代表性的研究方法包括模式匹配[20]、状态转换分析[23]、专家系统[21]、着色Petri网[19]以及条件概率[24]方法等等。

目前已有大量成熟的异常检测算法，如概率统计[25]、神经网络[26]、机器学习[27]、数据挖掘[22]等，可根据实际需要选择合适的方法构造正常行为的描述模式。

目前，告警关联方法成为网络安全的一个研究热点。

告警关联通过告警信息在时间和空间上进行相关处理，从而减少告警信息的数目，有助于发现事件发起的真正原因。

人们已经提出了很多告警关联的方法，包括人工智能、图论、神经网络、自动控制论。

1.2.1 基于规则推理的告警关联
在这种方法中，领域内的普通知识表示成一组规则，而与特殊形式相关的知识由事实组成。

一个基于规则的系统由三部分组成：工作存储区、知识库和推理引擎。

规则的一般形式为：
IF<前提>THEN<动作><结论>
基于规则的系统的推理机制是一个循环过程：匹配满足当前状态的所有规则构成冲突集；选择冲突集中最有匹配的规则；执行规则。

这样一个过程重复
3
哈尔滨工业大学工学硕士学位论文
执行指导没有匹配的规则。

基于规则的告警关联[28]方法的优点在于其表达直观，表示灵活，便于推理；格式清晰，设计和检测方便；可进行模块化处理。

缺点是系统中规则的提取和维护比较困难；求解效率比较低。

1.2.2 基于案例推理的告警关联
基于案例推理的告警关联：案例推理是基于集中存储的认知模型。

它的基本思想是将以前解决问题的经验以案例的形式存放在案例库中，当遇到问题时，就从案例库中查找同类案例的求解从而获得当前问题的解决方法。

文献[10]研究了基于案例推理的告警事件关联技术。

优点高速，缺点适应性差。

1.2.3 概率关联关联方法
这是一种实时的报警信息关联方法，采用相似度计算的方法来对报警信息进行关联。

首先计算报警信息不同属性之间的相似度，相似度的值在0 到1 之间。

对于不同的属性值，设定不同的相似度计算函数。

新的报警信息会与已存在的所有报警线程的相应属性值进行比较，计算它们之间的相似度。

报警之间的相似度定义为不同的属性相似度的平均值。

将报警中与报警线程相似度最大，并超过设定阈值的报警融合到报警线程中。

若不超过设定阈值，则生成一个新的报警线程。

在融合过程中，将针对报警信息的不同属性，生成一张表格，以存储被融合的信息。

这种方法能够较好地融合匹配度较高的报警信息。

实验表明，这种方法可以有效地压缩报警信息的数量。

1.2.4 基于先决条件的关联方法
攻击者的一次入侵通常需要通过一系列的攻击行为来完成，这些行为是相对独立的，同时又是相互关联的，前面的行为所产生的结果，成为后面行为执行的必要条件。

基于先决条件的关联方法的基本思想，就是通过比较先发生报警信息的行为的结果和后发生报警信息的行为的先决条件对两个报警信息进行关联。

入侵的先决条件指一次入侵取得成功的必需条件，结果指一次攻击成功后所产生的结果，可以是攻击者所获得的信息，也可以是受害者所受到的破坏。

有些攻击要成功地完成可能需要几个条件，为了表示这种较复杂的条件，应用了逻辑公式法，如谓词的逻辑连接表示一次攻击的先决条件。

例如，在一
4
哈尔滨工业大学工学硕士学位论文
定网络内要发动一次缓冲区溢出攻击，必须满足两个条件，即目标主机有可用的服务并且服务对于攻击者是通过防火墙可访问的。

这个先决条件通过逻辑谓词连接可表示为：
VulnerableToBOF(IP, port) ∧AccessibleViaFirewall(IP, port)
同理，也可以应用几个谓词来表示攻击的结果。

这包括美国北卡罗来纳州立大学的Peng Ning等人提出Hyper-Alert方法和法国的Cuppens等人提出一种攻击描述语言LAMBDA的CRIM方法。

1.2.5Hyper-Alert方法
美国北卡罗来纳州立大学的Peng Ning等人提出Hyper-Alert方法[29]，并以该方法实现了TIAA系统。

下面来简要地介绍一下这种方法。

Hyper-Alert类型 T 是一个三元组(fact, prerequisite, consequence)。

其中fact是一系列的属性名，每一个属性关联到一个值，表示在报警中（或检测攻击时）已知或已获得的所有信息；先决条件prerequisite是一系列谓词逻辑连接，描述了攻击要成功所必须具备的条件，它的变量都存在于fact 中；结果consequence 是一系列谓词逻辑连接，描述了攻击成功后所获得的信息，它的变量也存在于fact 中。

Hyper-Alert类型的定义如下：
SadmindBufferOverflow = (fact, prerequisite, consequence)，其中
fact = { VictimIP, VictimPort }
prerequisite = ExistHost(VictimIP) ∧VulnerableSadmind(VictimIP)
consequence = { GainRootAccess(VictimIP) }
该定义表示，此种Hyper-Alert类型为SadmindBufferOverflow攻击，其用到的属性有“VictimIP”和“VictimPort”；其先决条件为存在IP为“VictimIP”的主机且该主机存在Sadmind漏洞；其结果为得到该主机的root权限。

1.2.6其他方法
告警信息关联研究是IDS领域最新的研究动态。

告警信息关联的主要目的是有效降低误报率，消除重复报警并发现入侵事件之间所存在的逻辑关系，为进一步研究攻击者的入侵策略和意图、分辨攻击轨迹、构建攻击场景打下基础。

目前，国外已经有些研究学者和团体作了一些尝试性的研究工作，并取得了一定的成果：
5
哈尔滨工业大学工学硕士学位论文
较为典型的是由IBM Zurich研究院的Debar等人基于IBM丰富的网络管理知识构建的TACC组件[30]，用于异构告警信息的关联。

其处理过程可以分为三部分，首先是告警信息的标准化，对关心的告警属性进行归一化映射；接下来利用专家系统关联具有重复（Duplicate）和因果（Consequence）关系的告警信息；最后依据告警信息中的某种共性，如：同源或者目的IP地址，采用聚集算法对告警进一步过滤，同时，每个聚类分别拥有一个计数器和一个计时器，一旦二者之一超过了预先设定的阈值，该聚类中的告警信息将会立即输出给用户。

然而，该方法由于过分依赖专家系统的规则而限制了可扩展性，并且缺少对攻击知识自学习的机制。

SRI的Alfonso Valdes等人则提出了一种基于概率相似度的方法对告警信息进行关联（PAC）[31]，利用告警之间各个属性的相似度加权和来衡量告警之间的相似性，按照特征的相似度函数和概率极小匹配原则，将告警聚类。

为了提高效率，每一类仅用一个Meta Alert表示，新到告警只需与Meta Alert比较即可断定所属类别。

最初该方法作为SRI的EMERALD入侵检测产品的一个模块存在，目前已经可以关联第三方的IDS，并实现了对多层级连的告警进行关联。

PAC的优点是简单易行，但是相似度函数的选取、极小匹配规则的定义均需要专家知识来完成，因此可扩展性不强。

与PAC类似，CRIM[3]也通过比较相似度将相关告警聚集到一个簇中，不同的是，CRIM定义了一整套LAMBDA攻击建模语言对攻击进行建模，并将以XML格式表示的告警转换为类Prolog逻辑谓词描述的事实，通过谓词形式与专家系统的方法来实现告警聚集。

此外，CRIM相似性的度量不是通过概率分配的方法，而是通过专家系统的办法来定义，因此同样存在过度依赖于先验知识的问题。

Mika Klemekttinen在他的博士论文[33]中提出了串行的WINEPI算法来挖掘电信网络（TASA[32]）故障告警中的序列模式，其基本思想根据查到的短频繁模式来递归生成大的频繁情景，但是由于IDS告警的复杂程度要远远高于电信网络故障告警，因此，仅仅依靠序列模式对IDS告警进行关联是远远不够的。

1.3 数据挖掘在网络安全领域的应用
数据挖掘是从大量的数据中抽取出潜在的、有价值的知识（模式或规则）的过程。

数据挖掘技术是一门新兴的交叉性学科，涉及到机器学习、模式识别、归纳推理、统计学、数据库、数据可视化、高性能计算等多个领域的最新进展。

数据挖掘按其功能可划分为：关联规则分析、序列模式分析、分类分
6
哈尔滨工业大学工学硕士学位论文
析、聚类分析等。

数据挖掘的应用领域十分广泛，目前国内外已开始研究数据挖掘技术应用于入侵检测，提出了各种入侵检测的方法。

数据挖掘理论为入侵检测分析提供了多种可行的算法。

基于数据挖掘的告警关联：将数据挖掘技术引入到告警关联中，目的是为了揭示出隐含在海量原始低层事件后的有意义的知识和规则，从更全面的视角揭示网络安全状况，使管理员能够定位网络故障点和进行合理决策。

数据挖掘方法进行告警关联能够很好地适应网络的动态变化，但规则过于琐碎，但结果可信性需要人为鉴定，需要和人工方式结合使用。

告警关联产品有Hewlett Packard公司开发的ECS提供了基于规则的告警关联系统；Cabletron公司的Spectrum是一个基于案例推理的网络管理系统；IMPACT是由CTE公司开发的基于模型的告警关联产品；SMARTS公司提供了一个基于代码方法的告警关联产品InCharge；还有AT&T贝尔实验室的ECXpert、AGL System公司的NOAA等。

1.4 着色Petri网
Petri网最早的概念由Carl Adam Petri在1962年提出，此后广泛应用于各种系统的建模与分析中。

Petri 网是研究离散事件动态系统的有力工具，以研究模型系统的组织结构和动态行为为目标，着眼于系统可能发生的各种状态变化及其变化间的关系。

Petri 网适用于表示系统变化发生的条件及变化后的系统状态，常用于构造系统模型及进行动态特性分析。

通常，Petri 网的结构元素包括：Place、Transition和Arc。

Place用于描述可能的系统局部状态（条件或状况）；Transition用于描述修改系统状态的事件；Arc使用两种方法规定局部状态和事件间的关系：它们引发事件能够发生的局部状态；由事件所引发局部状态的转换。

在 Petri 网模型中，Token包含其所在Place中的动态变化以表示系统的不同状态。

Petri 网模型的状态转换是局部的，它仅涉及一个Transition通过输入和输出Arc连接Place的变化，利用这个特性可以用来描述并行分布系统。

1980年Kurt Jensen[34]提出Colored Petri Nets，在Petri网的基础上增加了彩色集（Color Set）的概念，它类似于数据类型。

CPN的数学模型定义如下：
CPN = (Σ, P, T, A, N, C, G, E, I )，其中
Σ为一组有限个数的类型，又称为彩色集.
P为一组有限个数的Places.
7
哈尔滨工业大学工学硕士学位论文
8
T 为一组有限个数的Transitions.
A 为一组有限个数的Arcs ，其中：
P ∩T = P ∩A = T ∩
A =
N 为节点函数（Node Function ）.
N: A →P ×T ∪T ×P.
C 为彩色函数（Color Function ）.
C: P →Σ.
G 为导引函数（Guard Function ）.
G: T →expressions ，而且：
](a)))Type(Var(E B )[Type(G(t) :T t Σ⊆∧=∈∀ 其中P 是N (a)的Place.
E 为连结表达式函数（Arc Expression Function ）.
E: A →expressions ，而且：
](a)))Type(Var(E C(p) )[Type(E(a) :A a MS Σ⊆∧=∈∀
I 为初始化函数（Initialization Function ）.
I: P →closed expressions ，而且：
]C(p) )[Type(E(a) :P p MS =∈∀
Kummar [35]使用着色 Petri 网（Colored Petri Nets ）来描述入侵者的攻击模式，着色 Petri 网是用节点代表状态，边表示状态间迁移的有向图。

图中表示迁移的边可附加某些用表达式描述的操作。

在发生状态迁移时，这些表达式允许对一些符号的局部变量进行赋值。

着色 Petri 网可有多个初始状态，但只能有一个终结状态。

开始匹配时，每个初始状态放一个Token ，每个着色 Petri 网可能拥有一组与它有关的变量，用于描述状态变迁的上下文。

Purdue 大学COAST 实验室的IDIOT （Intrusion Detection In Our Time ）模型，就是基于此方法而研制的入侵检测系统，采用一种前端语言编码着色网，在前端语言中程序由状态声明和变量声明构成。

IDIOT 由于其审记记录的独立性可使它应用于基于网络流量的入侵检测。

上面所叙述的应用CPN 的方法是为了设计IDS 而利用CPN 来作为其误用检测的模型，因此其CPN 所描述的特征层次较低。

本文所使用的方法并不是以设计IDS 为目的，而是对IDS 的输出再作更高层次的处理，关联IDS 所输出的报警事件，所以利用CPN 是用来对高层次的多步骤复杂攻击的情境进行建模。