IDS中告警關(guān)聯(lián)分析引擎的研究.pdf

1、互聯(lián)網(wǎng)為信息共享和交互提供了極大的便利，但隨之而來的網(wǎng)絡(luò)安全問題也日益明顯。作為一種主動(dòng)的信息安全保障措施，入侵檢測已經(jīng)與諸如加密認(rèn)證和訪問控制等基于防御的安全機(jī)制一起成為保護(hù)網(wǎng)絡(luò)免受惡意攻擊的第二道防線。然而，傳統(tǒng)的入侵檢測系統(tǒng)存在的三大缺陷：誤警率過高，告警量過大，告警所包含的信息過少，導(dǎo)致系統(tǒng)管理員不堪重負(fù)，并使他們不能充分的了解和掌握網(wǎng)絡(luò)的安全狀況以便及時(shí)做出恰當(dāng)?shù)姆磻?yīng)。因此，如何對(duì)告警進(jìn)行再分析和再組織，消除冗余告警、組合瑣碎

2、的告警，成為入侵檢測領(lǐng)域急需解決的問題。為了解決上述問題，告警的關(guān)聯(lián)分析逐漸成為該領(lǐng)域的研究重點(diǎn)。 本文首先分析了入侵檢測系統(tǒng)中告警的特點(diǎn)，在此基礎(chǔ)上，將告警關(guān)聯(lián)分析方法分為兩類(針對(duì)冗余關(guān)系和針對(duì)時(shí)序關(guān)系的告警分析方法)，并給出了入侵檢測系統(tǒng)下的告警關(guān)聯(lián)分析引擎的設(shè)計(jì)方案。該方案共分為四步：消除冗余告警，將具有時(shí)序關(guān)系的告警合并為一個(gè)告警，對(duì)告警評(píng)定優(yōu)先級(jí)，最后將告警按優(yōu)先級(jí)順序交給安全管理員。 其次，本文對(duì)目前較為成

3、熟的針對(duì)時(shí)序關(guān)系的告警關(guān)聯(lián)分析算法(基于攻擊序列模板和基于因果關(guān)系的告警關(guān)聯(lián)分析算法)進(jìn)行了分析與比較。由于它們?cè)诟婢笔r(shí)很難完整的分析出告警的關(guān)聯(lián)關(guān)系，本文提出了一種基于規(guī)則的動(dòng)態(tài)告警關(guān)聯(lián)分析算法，并通過模擬實(shí)驗(yàn)驗(yàn)證了該算法的有效性和效率。 最后，本文引入“代價(jià)敏感”的概念，提出了基于代價(jià)敏感的告警關(guān)聯(lián)分析算法。通過建立代價(jià)模型，計(jì)算告警的危害代價(jià)和響應(yīng)代價(jià)，并根據(jù)它們確定告警的優(yōu)先級(jí)，提高安全管理員的工作效率。目前判斷告警