入侵检测报警信息融合系统的构建与实现.PDFVIP

维普资讯 第 l7卷 第6期 计 算 机 技 术 与 发 展 V()1．17 NO．6 2007年 6月 C()Ⅳ P【UTER TE(、HN()I』=)(Y AND DEVEI．f]PⅣ陋NT Jun． 2007 入侵检测报警信息融合系统的构建与实现 韩景灵，孙 敏 (山西大学计算机与信息技术学院，山西 太原 030006) 摘 要：针对 目前入侵检测系统(IDS)存在的误报、漏报等问题 ，首先分析了存在误警的原因，设计并实现 了一个人侵检测 报警信息融合系统的模型。该模型提出一种相似隶属函数对报警事件进行关联 ，最后对系统进行了实验验证。结果表明 该系统能有效地减少报警数量，降低误报、漏报率，从而提高了报警的有效性。同时通过事件关联完成攻击场景的重构， 为加深对攻击者攻击意图的了解带来了方便 ，达到预警的 目的，具有较强的实用价值。 关键词：入侵检测 ；误报率；信息融合 ；报警关联 中图分类号 ：TP393．08 文献标识码：A 文章编号：1673—629X(2007)06—0159—04 Design andImplementationofIntrusionDetectionAlertFusionSystem HAN Jing—ling，SUN Min (SchoolofComputerandInformationTechnology，ShanxiUniversity，Taiyuna 030006，China) Abstract：AimingatsomeproblemsincurrentIDS，suchasfalsepositive，fales negative，analyzesthereasonoffalsepositive．An ID8 alertsinformationfusionmodelispreesnted，nad~imilaritysubordinationfunctionsarepreesntedforcorrelationofalertevent．Experi— mentsshow thattheID8alertsinformationfusionsystem iseffectiveinrdeucingthenumberofalerts，fales positive，falsenegativebetter naditcanwarnacocrding toattackintentionidentified． Keywords：intrusiondetection；falsepositiverate；informationfusion；alertocrrelation 0 引 言 2)大量误报和重复报警 ：例如一次长时间的端 口 随着黑客入侵事件 的日益猖獗 ，人们发现只从防 扫描 ，IDS可能会做出对端 口扫描行为的响应 ，也可能 御的角度构造安全系统是不够的。入侵检测技术是继 会认为是拒绝服务攻击 (DOS)而发出警报。真正的 “防火墙”、“数据加密”等传统安全保护措施后新一代 IX)S攻击发送的大量报警信息具有相同的源 IP和 目 的安全保障技术。它对计算机和网络资源上的恶意使 的IP，短时间内产生大量重复报警，可能导致相关数 用行为进行识别和响应。入侵检测系统 (IDS)就是要 据库的崩溃。 发现非经授权而使用计算机系统的用户 (hackers)，或 3)报警孤立：大部分的IDS所检i贝0的都是入侵过 检测那些虽有合法的权 限，却滥用系统的用户 (insider 程中某一孤立的攻