基于层次的智能告警关联分析模型研究.pdfVIP

Microcomputer Applications Vl忱 27， No.8, 2011 研究与设计 微型电脑雇用 2011 年第 27 卷第 8 期 文章编号: 1∞7 -757X(20 11 )08-(用36-03 基于层次的智能告警关联分析模型研究 张连华 摘 要z 入侵检测系统的广泛使用产生了许多告警信息流，这些告警事件信息流基本上都是基于低层的攻击步骤检测，且具 有较大的误告警牟;各种分布式攻击进一步加剧了入侵检测系统告警事件信息流的复杂性。研究介绍了关联分析的基本原 因、关联分析的基本概念，然后提出智能化入侵检测关联分析层次模型。该模型从误告警验证和抑制，到一个攻击一个告警， 再到一个攻击过程对应一个场景.ilJ 画，形成一个层次。在不同的层次上，防御者对攻击的视图越来越清晰，从而为响应措施 提供了精确的决策依据，进一步提高了整个入侵检测系统的智能性和可用性。 关键字2 入侵检测、告警关联分析、智能模型、层次模型 中图分类号: TP311 文献标志码:A 0 引言 入侵枪测系统的广泛使用产生了许多告警信息流，对这些 告警事件的处理往往超过一般安全系统管理员的工作负荷能 力，导致许多告警消息要么被关闭要么没有获得应有的关注。 目前网络入侵检测系统还不能获得 l∞%的检测率，这些告警事 件信息流中具有「较大的误告警率。此外，现有的网络入侵检测 系统基本上都是基于低层的攻击步骤检测而不是检测攻击场景 (或攻击过程)。通过检测低层的攻击步骤(攻击方式)并给出 网络入侵事件的告警不能给出攻击场景的高层抽象。现有入侵 检测系统的这些缺点构成了入侵检测告警关联分析研究的基本 动力.关联分析研究的另一个背景是目前分布式攻击越来越流 行，而且其攻击能力越来越智能，破坏力越来越大.目前美国 国防部 000 已经明确未来的军事网络将依赖现有的 h优met. 所以 In能met 的安全获得美国国防部的关注。其中美国国防部 000 技术开发署 DARPA 机构最关注的一项调查就是未来的 h臼met 蠕虫及其他分布式协作攻击对In阳net 的破坏能力. [SPW02]研究表明，未来的 Intemet 蠕虫及其他分布式协作攻击 能力是惊人的，虽然也存在检测和防御的可能措施，但有待开 发。而要检测该类分布式攻击，关联分析是一项重要技术 [XDTH08] 。 关联分析技术不是一个新概念，怔mθ3]已经提出了这一概 念 (Huang 研究了攻击策略分析方法[Huang98] ).但是由于当 时对关联分析的定义不清楚[Amo99]. 同时把关联分析等同于 统计分析，所以这一技术没有获得计算机和网络安全工作者的 广泛研究，随着上述研究背景的出现，关联分析技术获得越来 越广泛的重视，成为一个研究热点。田M 和 Honeywell 等一些 大公司和一些研究院如 SRI 都在从事这方面的研究和开发，已 有一些商业产品出现，但是功能还比较简单，所以研究关联分 析具有重要的理论和实际意义。 本文研究智能化的入侵检测告警关联分析模型和算法。首 先介绍了关联分析的基本原园，关联分析的基本概念。然后提 出智能化关联分析的层次模型。本文的工作进一步提高了整个 入侵检测系统以及安全信息管理系统的智能性和可用性。 1 告警关联分析系统的输入、输出及其功能分析 Amoroω[Amo99]把入侵告警关联分析定义为: 指在入侵 检测和响应目的指导下的对被检测的目标系统行为的各种可能 信息源的信息解释、组合和分析。这是第一个明确了入侵关联 分析的概念的定义，但是和目前广泛研究的入侵关联还有一定 区别。首先，它没有区别入侵事件与入侵告警消息概念。 IDMEF 规范指出[IDMEF02]: ..当枪测到一个事件时，分析器发送告警 消息给管理者，取决于分析器的类型，告管消息可能对应单个 检测到的事件，也可能是多个检测到的事件。入侵告警消息是 对外部入侵事件的响应。上述概念粗略对应于入侵事件关联。 第二，它对用于关联的数据源的定义过于概括，没有区分带内 和带外信息。入侵关联分析既要使用入侵检测系统本身的信息， 也要使用入侵检测系统之外的信息，比如系统或网络配置信息. 第三，对关联分析的目的也没有具体化。本文入侵关联分析定 义为g 为了精炼入侵检测告警消息和提高检测率，提供高层场 景 (sc回回io) 抽象或为检测分布式攻击，结合入侵检测系统带 外数据源(如z 配置信息、漏洞扫描消息)对入侵检测系统告 警消息的验证、解释、组合和分析。 在入侵检测系统或者安全信息管理系统中引入关联分析， 实质上是在入侵检测分析器和系统用户接口界面之间增加一个 起到高级事件智能分析作用的事件关联层一一告警关联分析器， 告警关联分析器根据给定的关联分析方法对入侵检测引擎检测 到的告警进行关联分析，并将处理后的告警