IDS告警的概率相似性聚类算法研究.pdfVIP

第十八届全国信息保密学术会议(IS2008)论文集 IDS告警的概率相似性聚类算法研究 蒋兴浩1 万晨妍2 文颖1 上海交通大学信息安全工程学院1 上海市政府公众信息网管理中心2 摘要：随着主机和网络入侵检测系统在互联网环境中的越来越广泛的应用， 如何有效地处理入侵检测系统发出的大量告警已成为重要的研究课题。本文中作 者提出了一种概率相似性的告警聚类方式，概率相似性聚类方式考虑告警的属性 特征，此方式能以一种统一的数学方法把具有相似性的告警聚合成高级的告警。 关键词：IDS告警概率相似性聚类算法安全管理 1 引言 为了应对网络中潜藏的各种安全风险，入侵检测系统在信息安全应用方面得 到了广泛的应用，当前的入侵检测方案或模型基本上都是由探测器(负责搜集数 据)、检测引擎(负责网络正常模型或入侵专家库的建立及依此对入侵行为的检 测)和用户接口三部分组成。入侵检测系统监测网络流量、主机活动和关键文件 等各种重要的信息，从而保证网络资源的完整性、机密性和可用性。然而，入侵 检测系统的大量应用也带来了另外一个问题，即各种不同的IDS将产生大量的告 警，网络管理员的工作量大大增强。如何高效地融合这些异构的IDS设备产生的 大量告警成为了目前研究的方向。本文介绍了基于特征的概率相似性告警聚合算 法，概率相似性聚合算法有以下三个方面的优势： (1)能有效综合各个异构的入侵检测系统的优势； (2)算法中引入了最小匹配原则，可避免系统在次要的告警属性上进行不必 要的告警聚类； (3)有层次的告警融合，不仅包括同类型的告警的融合，而且还能关联多步 攻击。 本文内容分成以下几部分：首先我们介绍在概率相似融合算法中涉及的一些 ·422· IDS告警的概率相似性聚类算法研究 概念和融合规则，其后作者将举例描述算法如何实现告警融合，以达到信息综合 处理的目的。 2相关名词解释 概率相似性融合算法是以告警特征为基础的，在算法中作者定义了特征相似、 最小相似规则和期望相似度等概念，在介绍算法前，有必要对这些概念做详细的 解释。 特征相似——即两个不同的告警属性有相同的部分，或者说两个IDS发出的 告警的属性有重叠部分。这里属性指的是告警包括的一些重要信息如源地址、目 的地址、攻击类型、攻击时间等。针对每一个属性，我们定义一个“相似函数”， 返回一个0到l之间的值，当然l代表了这两个属性的完美匹配。在定义“相似 函数”的时候应该考虑到以下三点： (1)两个告警属性包含的内容重叠情况(如：当有多个目的端口的时候，可 考察二者相互重叠的情况)。 (2)某一告警的属性是否被另一告警的属性所涵盖(如：当DOS攻击发生 时，可观察其被攻击端I：l是不是以前被扫描攻击探测过的端口之一)。 (3)如果告警的源地址不完全相同，那么可考虑一下它们有没有可能来自同 一子网。 对于告警类型的相似度，可根据专家知识生成类似如表1的静态矩阵： 下表矩阵元素表明了告警类型A在多大程度上能导致告警类型B的发生，显 然矩阵并非对称的。需要指出的是，并非所有的类型告警都能产生相同的属性集 合。例如，主机型IDS设备发出的告警会给出进程号信息，但是网络型IDS设备 发出的告警一般都不包含类似的属性值。因此，在计算两个告警整体相似度的时 候，这样的属性并不参与计算，因为它们不为两个告警所共有。 相似度期望值——这是算法的创新点之一，相似度期望值取值范围仍然是0 到1之间，是一种预先设定的期望值，指的是如果两个告警确实存在某种相似度， 那么它们应该达到的相似程度。例如，来自同一源地址的扫描攻击可能扫描网络 中的不同子网，所以我们设定扫描攻击的目的lP地址期望相似度值为较低。又 如。SYN洪泛攻击会伪装源地址，所以对SYN洪泛攻击也可设定较低的源地址相 似度期望值。 ·423· 第十八届全国信息保密学术会议(IS2008)沦文集 表1告警类型的相似度矩阵