多源安全信息融合系统设计 security information fusion system design based on multiple data sources.pdfVIP

多源安全信息融合系统设计 张志军，余江，常俊，刘银山 (云南大学信息学院，云南昆明650091) 摘 要：利用报警融合和关联分析技术能很好地提高报警准确度。阐述了基于多源安全信息融合系统关键模块设计，以暴风蠕 虫攻击检测例证了该系统的有效性，并指出需要进一步研究的问题。 n03勺c叫m刀∽mn 关键词：入侵检测；报警关联；数据融合；风险评估 InformationFusion Basedon DataSources LJ刀H一 Security SystemDesign Multiple Yu Chang LiuYin—shan ZhangZhi-jun，diang， dun， USeofalertcorrelationandinfornlationfusion can the ofintrusion article Abstract：The techniqueslreproveaccuracy detection‘system．The based detectionof discussesthe ofkeymodulesofthenetwork informationfusionsystem Onmulti--source．Wetakethe storm design security all to the ofdetection OUttheneedforfurther wormattacksas exampleprovehighefficiency complicatedattacks．andprint research． evaluation words：intrusiondetection；alertcorrelation；dataFusion；risk Key 在日益复杂的网络环境下，安全问题更加突出，单 一的检测方法和检测系统难以检测各种复杂攻击，综合多 种检测技术(误用检测、异常检测)、多种安全部件能够 基础，完善、优化主机资源监控，提高监控实时性和智能 有效提高检测的准确性。但是，各类安全产品产生的海量 化；并部署基于异常检测的流量监控部件。ossec是一款 报警将真实有效的报警信息淹没。这就需要对源自不同检 功能强大的开源主机入侵检测系统，支持常见操作系统及 测方法和安全系统的安全信息进行融合，得到一个综合的 应用程序日志、文件完整性、注册表、端口、进程监控、 判别结果。关联各类安全信息能互补入侵证据，有利于更 rootldt检测。 全面地了解网络安全状况，提供攻击预警、风险评估等高 层次的安全需求。 2主功能模块设计 以F介绍融合系统的主要功能模块和算法。 1系统架构与融合模型 2．1报警规范化处理 安全信息融合系统主要包括日志预处理、报警提取与 报警规范化处理本质上是外部报警到内部统一的报警 接收、报警规范化处理、报警聚类与和合并、报警关联分 格式的一个映射过程，包括相关的错误检查。不同的IDS 析、漏洞脆弱性关联分析、风险评估、报警输出与应急相 标识攻击的行为名、编号可能不同，因此，系统必须维护 应等功能模块。系统模型见图l。