入侵检测系统报警聚合关联研究.pdfVIP

ISSN 1009-3044 E—mail：info@CCCC．net．cn ComputerKnowledgeandTechnology电脑知识与技术 http：／／www．dnzs．net．on Vo1．5，No．31，November2009，PP．8658—8660 Teh+86—551—5690963 5690964 入侵检测系统报警聚合关联研究 邱於辉，李向军 (南 昌大学 ，江西 南昌 330031) 摘要 ：针对现有入侵检测系统有产生的报警信息的重复率高、漏报高等问题 ．文 中提 出一种报警信息处理模型．该模型采用基于分 类的属性相似度报警聚合 ，能更好的消除重复报警；引进的漏报算法 ，一定程度解决了现有报警关联如因果关联和序列关联应报警 漏报而导致关联失败的问题 ，提 高入侵检测 系统 的检准率。最终让管理 员更加能够快速准确 的判 断攻击类型，并做 相应 处理。最后 用darpa2000数据集测试实现的相应的算法。 关键词 ：入侵检测；分类；聚合；关联 ；漏报 中图分类号：TP393 文献标识码 ：A 文章编号 ：1009—3044(2009)31—8658—03 TheResearchofIDSAlertAggregationandCorrelation QIU Yu—hui，LIXiang-3un (NanchangUniversity，Nanchang330031，China) Abstract：Becauseoftheintrusion—system havingthetheproblem suchasflooding，context，andfalsealerts，thispaperdescribesanmodel oftheaggregation andcorrelation．themodelaggregatealertBasedonCl~sify．thism ethodandalgorithm canmoreeliminatemoreredun— dancealert；thealgorithm ofPrerequisite—consequencehaveaproblem thatmay causecorrelation false，SO thispaperuseanfasle—algorithm todealwith it，andpromotethetherateofcorrectalert．ultimatelytheadministratorcanknow theclassifyofIDSalert，andmanagethem in time．Intheend，thispaperusingthedarpa2000datasettestthealgorithm ． Keywords：IDS；classify；agrgegation；correlation；falsealert 入侵检测系统(intursiondetectionsystem ，IDS)作为一种 网络主动防御手段，它可以识别入侵者、识别入侵行为、检测和监视已经 成功 的入侵 ．并进行人侵响应 现有 的IDS存在如下主要问题 ： 1)缺乏对于入侵行为的精确描述能力，这是现有 的IDS存在大量 的误报和漏报现象的主要原因之一 。 2)为了增加 IDS系统的检测率 ，人们常常同时结合使用多种 IDS系统 。这导致了大量报警事件信息的产生 ，对这些报警的处理 往往超过一般安全系统管理员的工作负荷能力。 31当前大部分 IDS系统产生 的报警信息仅仅对应于原始攻击事件 的单步动作 ，而忽略了在这些原始攻击事件单步动作背后的 隐藏逻辑联系和攻击意图。相关攻击可能产生大量相关报警信息，但 目前 IDS无法识别其相关性。虽然入侵检测系统之间有逻辑上 的连接 ，但它们只关注低级的攻击和异常，并且各 自产生 自己的报警信息 ，彼此之间缺乏协调规范，不能捕捉到隐藏在这些攻击背 后的逻辑步骤和策略。 l研究现状 为了弥补现有入侵检测系统的不足 ，安全专家提出许多模型和算法对入侵检测系统产生的报警进行聚合关联 ，以减少报警数 目，降低漏报率 ，发现隐藏的攻击意图，最终降低安全管理员的负担 ，使其能对报警做出准确的判断并迅速处理 。常用的聚合关联算 法有 ：