多传感器的数据融合应用于下一代入侵监测系统-网络安全焦点.doc

应用于下一代分布式入侵检测系统的多传感器数据融合 摘要： 下一代计算机空间的入侵检测系统将从异质的分布式网络中的多传感器融合数据，以形成计算机空间的态势估计（cyberspace situational awareness）。本文初步提出了一些使用多传感器数据融合作为基层模型的工程要素；概括了当前基于Internet的入侵检测系统和基本的数据融合构架；使用TCP/IP模型开发传感器框架模型和数据库模型；推荐使用SNMP ASN.1 MIB结构表示依赖于内容的威胁和脆弱性数据库。 介绍 入侵检测系统概述 Internet入侵数据融合 基于融合的入侵检测系统 传感器数据缩减（Reduction）和威胁对象 结束语 致谢 参考目录 关于本文 介绍 据估计安全评估工具的市场从1999年起以每年1.5亿美元的增长率增长，到2002年已经超过了6亿美元[1]。能源部（Department of Energy）近日召集网络安全专家就恶意代码、异常活动和入侵检测等领域向美国政府的RD技术规划提供指导[2]。显然，快速增长的计算机空间入侵检测和态势评估市场面临严峻的技术挑战。 图1说明了态势评估推论的层次在计算机操作（cyberoperations）时既要支持作战管理又要支持网络管理[3]。商业和军事都需要对计算机空间的入侵检测和态势评估系统；在充满干扰的环境下精密的电子器件必须能够辨识对象，跟踪对象，计算速度，估计有计划的威胁。这都是需要一定技术的。 ?? Figure 1: Hierarchy of IDS Data Fusion Inferences 网络安全技师认为当前的IDS在技术上还没有先进到足以抵御攻击的悄无声息（non-signature based cyberattacks）（下一章详述）。NATO的服务器遭受到来自于Serbian黑客的联合暴力攻击，他们使用了邮件炸弹和网管工具，通过消耗网络资源使服务器拒绝服务[4]。1997年，The Langley Cyber Attack的邮件炸弹事件在关键基础设施的保护方面向Marsh Commission证明了当前的IDS不能应对对重要计算机的软硬件严重威胁[5]。导致这方面不足的一个原因是IDS的误警率一直令人头疼。当技术资源不能部署到计算机系统或调查非入侵事件时安全资源被误导，误报警导致了严重的组织损失。实际上总是误警的系统对于用户的信心是毫无用处的。 ?? Figure 2: Cyberattack with Multiple Sources Targets 另一个原因是态势估计技术在我们的关键电子基础设施方面还只是刚刚起步。网络中心的指挥员没有可信的工具以辨识、跟踪和估计“i-objects”的多重攻击，例如图2。在计算机空间非对称冲突中的对手占有优势是因为没人统治并且有权利者只有很初级的态势知识；这就导致了今天的计算机空间的空隙或权力真空。 下一代的IDS需要从各种异质的分布的网络传感器融合数据。第3章概述了这些高层的IDS融合需求，这也在我们最近在ACM上发表的论文[3]上有所论述。隐含的课题和挑战绝不仅仅是入侵检测系统；网络管理也是非常耗费的基础构造。通常，这些系统不能给网络工程师提供具体的态势信息，而只是大量的系统信息和底层数据。下一代的网络管理和入侵检测系统将在统一的模型下交互，把数据融合成信息和知识；这样网络操作员就能够对计算机空间中他们自己那一块的系统健康和实时安全做出有根据的决策[3]。 本文为如何使用多传感器的数据融合提高高级计算机空间管理系统的性能和可靠性提供一个功能性的概貌，涉及系统设计，并建议进一步的研究和发展领域。另外，我们认为传统的诸如“网络管理”的概念应该推广到“基于计算机空间态势评估的融合”。 入侵检测系统概述 以前Internet入侵检测系统检查操作系统审计日志和网络通信[6][7]以保护重要信息基础设施的有效性、保密性和完整性。入侵检测系统保护重要信息基础设施以防DoS攻击、未授权的信息公开、数据的篡改或破坏。对这些事件的自动化的监测和及时报告需要对针对网络和主机的信息攻击做出响应。现在的入侵检测手段可概括为已知模式模板、威胁行为模板、通信分析、统计异常检测和基于状态的检测。这些系统还没有成熟到可靠的检测、核对、评估新的以网络为中心的攻击。 八十年代为了完善计算机安全措施引入了计算机入侵检测系统。IDS设计者常引用Denning[6]在1987年构建的入侵检测模型，它是基于主机的主体profile、系统对象、审计日志、异常记录和活动规则。一般的入侵检测结构是指基于规则的模式匹配系统；审计跟踪应对于主体profile以检测基于登陆、程序执行和文件存取的计算机误用行为[3]。 主体异常