网络复杂攻击的报警关联性研究.pdfVIP

第11卷第2期 软件导刊 VOI．11NO．2 2012年2月 SoftwareGuidc Feb．2012 网络复杂攻击的报警关联性研究 路 凯1，于红彬2，罗俊丽3 (1．许昌电气职业学院，河南许昌461000；2．河南省轻工业职工大学，河南郑州450002； 3．许昌学院计算机科学与技术学院，河南许昌461000) 摘 要：网络复杂攻击由一系列有逻辑关系的攻击行为构成，各个攻击步骤有一定的关联性。报警关联技术是检测 网络复杂攻击的一种方法，该技术可以关联IDS报警事件，并以此来描述网络复杂攻击步骤之间的关系。使用报警 因果关联技术构建攻击场景，并从中识别入侵者的攻击概貌。 关键词：复杂攻击；报警关联；攻击场景；入侵检测；网络安全 中图分类号：TP393．08 文献标识码-A 文章编号-1672—7800(2012)002—0130—02 对复杂攻击检测漏报率和误报率都比较高。要解决这些 1报警事件基本关系 难题，不但需要不断改进检测算法，还需要研究怎样从报 警事件中挖掘事件之间的关系，即报警关联技术，研究报 目前网络上的攻击大都不是单一的攻击行为，而是多 警事件以分析攻击事件之间的逻辑关系，这一方面可以减 个有联系的攻击步骤组合，当IDS检测到攻击时会产生报 少误报警和漏报警；另一方面也可以从报警事件的关系来 警事件，这些报警事件也存在一定的联系。如果用IDS报 预测将要发生的攻击。近年来，国内外研究者提出了多种 警事件来表示攻击事件，那么复杂攻击就可以使用多个报 报警关联技术，下面对这几类报警关联技术进行分析。 警事件来表述，这样就可以借助IDS报警事件来研究复杂 攻击，研究中发现，报警事件能够抽象为下面几种关系。 2报警关联技术分析 1．1因果关系 因果关系反映了事件之间具有先后和制约的关系。 2．1基于属性相似度的方法 一个攻击事件通常都不是孤立存在的，前序行为总是为后 在现实中。网络中常常安装多个lDS，这些IDS可能 面的攻击做准备，比如攻击者进行网络端口扫描是为了获 是不同公司的产品，并且采用不同的检测方法，这样可以 取目标主机开放的端口和服务程序等信息，为进一步利用 一定程度上避免漏报警和减少误报警，但是这样会产生更 目标主机服务程序的漏洞进行攻击做准备。也就是说，攻 多的重复报警，所以需要对这些报警进行关联分析，以去 击步骤之间存在一定的因果关系，前一攻击报警事件的发 除重复报警，并且将有属性相关的报警进行关联。文献 生是下一个攻击的前奏。 1．2冗余关系 警。其方法描述如下：首先将IDS报警事件的属性(如攻击 在实际中。一个攻击事件可能会引发多条报警信息， 源地址、目标地址、攻击时间等)作为参数，定义这些属性 这些表示同一攻击事件的报警事件之问是冗余关系。我 们通常把表示同一攻击行为的报警事件进行融合，以达到 J 简化效果。 y，)／≥：E，求报警事件的相似度，从而判断报警事件是否 J 通常。入侵者会制定攻击计划，通过多个攻击行为和 为重复报警，是否有一定联系。这种基于属性相似度关联 步骤达到攻击的目的，进而完成整个攻击过程。这意味着 的方法可以有效地去除重复报警，达到融合报警信息的作 同一个攻击过程的事件之间存在多方面的关联，这些关联 用，但这种方法发现报警事件关联关系的