入侵报警过滤系统的设计与实现.docVIP

入侵报警过滤系统的设计与实现 　　摘要:针对安全管理员难于快速有效处理入侵检测系统运行时产生的海量报警数据问题,通过分析入侵报警数据本身的特点,设计出了时间窗、优先级、同源IP、同目的IP和漏洞信息共5种过滤规则,并实现了入侵报警过滤系统IAFS。测试结果表明,IAFS有效过滤了重复和无意义的报警,凸现了真正重要的报警数据。 　　关键词:入侵检测;报警;过滤 　　中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)32-8978-02 　　Design and Implementation of Intrusion Alert Filter System 　　WANG Xuan-hong1, XIAO Yun2 　　(1.Dept. of Communicate Engineering, Xian Institute of Post Telecommunications, Xian 710121, China; 2.Dept. of Information Science Technology, Northwest University, Xian 710127, China) 　　Abstract: To solve the problem that security administrators cannot quickly and effectively deal with large alerts produced by intrusion detection system, five filter rules, including time window, priority, same source IP, same destination IP and vulnerability information are designed, and intrusion alert filter system(IAFS) is implemented. The testing results show that IAFS effectively filters repeated and insignificant alerts and projects real and important alerts. 　　Key words: intrusion detection; alert; filter 　　入侵检测系统(Intrusion Detection System,IDS)在大流量网络中运行时会产生了大量的报警,如何有效的处理和利用这些数据是安全管理员所面临的一个问题。实际使用中,IDS 产生的报警数据具有以下特点:1)报警数量大;2)重复报警高;3)存在无意义报警。为了从这些海量报警数据中提取有用信息,减轻安全管理员的工作负担,本文根据轻量级网络入侵检测器Snort[1]的报警数据自身的特点,通过设计具体的报警过滤规则,设计实现了入侵报警过滤系统(IAFS),有效地过滤了重复报警和无意义报警,凸现了真正重要的IDS报警,大大提高了安全管理员的工作效率。 　　1 报警过滤规则的设计 　　入侵报警过滤系统IAFS依据报警过滤规则进行过滤,因此,设计合理的报警过滤规则是本系统的关键所在。本文从以下5各方面设计报警过滤规则。 　　1.1 时间窗过滤规则 　　分析Snort历史报警数据,有大量的报警数据在很短的时间重复出现。例如,分布式拒绝服务攻击(DDOS)的报警数据中,报警名称为“SCAN nmap TCP”的报警在微秒数量级上连续出现,可以采用时间窗过滤的方式对其进行过滤。时间窗过滤规则如下: 　　在时间窗Tw秒之内,如果当前报警与前一条报警名称相同,源IP相同,并且目标IP也相同,则过滤当前报警信息,不显示在IAFS界面中;否则,显示。 　　1.2 优先级过滤规则 　　Snort报警数据格式中有Priority属性,该属性表示该条报警的优先级,优先级越低,该条报警的危险程度越高。优先级过滤方式通常过滤那些报警数据较多,但在其中有某几条报警的危险度很高,可能直接侵入系统,这种高危报警容易被大量的琐碎报警信息所湮灭,这种情况下,使用优先级过滤的方式,就可以很快的发现高危报警信息,这样便于安全管理员尽快采取措施,比如打好补丁,从而尽可能的防御网络攻击。优先级过滤规则如下: 　　如果当前报警的Priority值高于设定的优先级门限PT,则过滤当前报警信息,不显示在IAFS界面中;否则,显示。 　　1.3 同源IP过滤规则 　　在历史报警数据当中,可能会存在大量的报警数据都是从同一个IP地址发出的,这有可能是某个IP地址的黑客正在对主机进行攻击,为了安全管理员能高效