入侵检测报警聚合与关联系统设计与实现.pdfVIP

电子发烧友 电子技术论坛 入侵检测报警聚合与关联系统设计与实现 Design and Implementation of Intrusion Detection Alerts Aggregation and Correlation System 1 2 1 （中国矿业大学）胡军 左 明 杨 松 Hu Jun Zuo Ming Yang Song 摘 要：入侵检测系统的大部分报警事件之间都存在某种联系，通过对这些报警的聚合与关 联能够消除或减少重复报警，降低误报率及发现高层多步攻击策略。论文设计并实现了一种 报警聚合与关联系统，系统主要包括报警聚合、报警校验、多步攻击报警关联和报告分析与 规则控制等部分。实验证明：该系统能够减少报警数量,并能识别攻击意图,达到预警的目的。 关键词：入侵检测；报警聚合；报警关联；报警校验 中图分类号: TP393.08 文献标识码: A Abstract:The alert events detected by Intrusion Detection System are usually interrelated in certain respects. Through aggregating and correlating of these alerts , the system can eliminate or reduce numbers of the same alerts , decrease false positive rate,and discover the high level multi-step attack policy. This paper presents an intrusion alerts aggregating and correlating system, which is mainly composed of aggregation analysis, alerts verification and multi-step attack correlation,etc. Experiments show that the system is effective in reducing the number of alerts,and can warn according to attack intention identified. KeyWords:Intrusion detection;Alerts aggregation; Alerts Correlation; Alerts verification 1.引言 入侵检测系统作为一种网络主动防御手段,它可以识别入侵者、识别入侵行为、检测和 监视已经成功的入侵,并进行入侵响应。但是在实际网络环境中，对已部署的入侵检测系统 产生的报警信息进行分析时发现如下问题：①重复报警，IDS有时会对同一个攻击目标在几 分钟之内甚至几十秒内产生几十个报警，大量重复事件使报警信息没有任何可读性；②误报， IDS会产生很多这样的误报信息，如在Linux操作系统网络中, 如果遭受“红色代码”病毒攻 击并不会对系统产生影响，但IDS 会将此攻击记录下来,并产生误报；③孤立报警，攻击者 进行攻击时, 往往是通过一系列的攻击行为才能达到最终目的，IDS只对每一次攻击产生报 警, 缺乏对攻击序列关联分析。 由于大量的重复报警和误报的存在，大大降低了真实报警的可见性，使得管理员难以从 纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警, 且由于检测引擎缺乏对序列攻击 的分析难以重组整个攻击场景，在遭受重大序列攻击时使我们很难对攻击者取证和防范再次 类似攻击的能力，更难以及时更新保护区的系统的漏洞。 因此为了解决上述问题,需要对原始报警信息进行二次分析与处理，即根据原始报警之 间的属性关系对原始报警进行聚合和关联处理。本文设计并实现了一个高效的报警信息聚合 与关联系统, 用于报警信息的融合。实验表明, 该系统有效减少了报警数量, 降低了误报率, 达到了很好的实际