安防论文09720104文英全.docxVIP

统报警信息聚合与关联技术研究综述摘要报警的聚合与关联是入侵检测领域一个很重要的发展方向．阐述了研发报警聚合与关联系统的必要性通过对报警的聚合与关联可以实现的各项目标；重点讨论了现有的各种报警聚合与关联算法；介绍了在开发入侵报警管理系统(IDAMS)中如何根据算法特点选择算法的原则；最后，介绍了现有聚合与关联系统的发展现状，并提出了研发入侵报警聚合与关联系统所面临的重要技术问题和发展方向．关键词：入侵检测；报警聚合；报警关联；网络安全1.现有IDS存在的问题入侵检测系统(intrusion detection system，IDS)作为一种网络主动防御手段它可以识别入侵者、识别入侵行为、检测和监视已经成功的入侵，并进行入侵响应．现有的IDS存在如下主要问题：①入侵检测的误报率和漏报率偏高，大量重复报警；②现有大部分IDS检测到的攻击都为入侵过程中的单一攻击行动，所包含的信息质量较低；③入侵响应能力差．目前，大部分的IDS的响应手段只限于检测到入侵后发出报警信息，将入侵响应的工作留给网络管理人员去手动完成．此外，现有IDS还缺乏同其他安全产品有效协调等缺点．上述问题极大地影响了IDS的实际使用效果，甚至有人断言IDS将会被逐出市场?．为了解决上述问题，IDS发展的一个明显趋势是走向安全事件的融合与关联，实现全网安全事件的集中管理，有关人员正积极的讨论并解决这些问题。2.报警聚合与关联可实现的目标通过对来自于不同类型IDS和其他安全设备所产生的报警进行聚合与关联，可以有效地解决入侵检测分类技术由于硬件速度、算法假设和复杂网络环境的影响所很难克服的误报和漏报偏高等问题，为自动、深入的报警处理打下基础，可以实现如下目标：(1)消除或减少重复报警．网络上不同的IDS针对同一个安全事件都可能报警，即使是同一个IDS也可能对某个安全事件发出多个报警．这些重复报警少则几个，多则上万．通过对报警的聚合，可以大大减少重复报警率．(2)降低误报率．通过将一个攻击过程相关报警信息关联在一起，可以消除某些孤立和随机事件产生的误报警．另外，报警信息同被保护网络系统本身的信息相互比对就可以很好地滤除无关报警，降低误报率．(3)降低漏报率．目前，没有一种单一的IDS能够检测到所有网络攻击．不同IDS之间的报警通过关联，可以相互补充，防止漏报的发生．在文献中所进行的实验中使用了Snort和EMERALD两种IDS，实验结果表明两种IDS之间可以相互补充，对两者报警进行关联就可以得出一个全面的攻击情况，从而降低漏报率．(4)发现高层攻击策略．将入侵过程的一系列攻击活动关联在一起，重建攻击过程，这样就可以对入侵的整体情况进行描述，有利于对入侵的理解，发现攻击策略，克服了以往IDS那种检测结果过于细化和底层缺点，避免了“只见树木，不见森林”负面效果，为人侵的意图识别、入侵行动预测和入侵响应打下了基础．(5)扩大了IDS的检测范围．在较大型的交换式网络系统中，单个的IDS(不论是基于网络的还是基于主机的)其检测范围和处理能力是有限的，要想掌握整个网络的安全情况，就要将多个IDS和安全设备布置在网络上的不同位置，然后将来自于这些安全设备的报警进行融合处理，从而实现全网范围内的安全防御．3. 报警的聚合与关联数据融合最早用于军事，1973年美国研究机构就在国防部的资助下，开展了声纳解释系统的研究．美国国防部JDL从军事应用角度最初将信息融合定义为信息融合是一个对从单个和多个信息源获取的数据和信息进行联合(association)、关联(correlation)和组合(combination)，以获得精确的位置和身份估计，以及对态势和威胁及其重要程度进行全面及时评估的信息处理过程．JDL目前对信息融合的定义是信息融合是一个组合数据和信息以估计或预测实体(entity)状态的过程．本文所讨论的IDS报警信息融合就是将来自于不同类型IDS(或其他安全设备)所产生的报警和安全事件进行合并、聚合和关联等操作，以期得到比单一IDS(或安全设备)对入侵和系统安全状态更精确、更可靠的估计和推理决策．报警的聚合与关联操作的目标是一致的，这两种操作之间没有明显的界限．根据大多数文章以及我们对报警聚合与关联的理解，这里将聚合、关联以及相关的概念定义如下：定义1．报警聚合(alert aggregation)．是将IDS或其他安全设备针对同一安全事件产生的大量性质相同或相近的报警合并成一个报警．定义2．攻击过程(attack scenario)．是多个不同攻击动作按一定顺序所形成的入侵过程．定义3．报警关联(alert correlation)．就是将属于同一攻击过程的每一步攻击动作所产生的报警联系在一起，重建攻击过程．定义4．原始报警(raw alert)．是由IDS或其他安全设备直接产生，没有