自适应虚警处理框架研究和实现.docVIP

自适应虚警处理框架研究和实现 　　摘 要：在分析虚警来源及现有处理技术的基础上，提出了一个具有自适应能力的入侵检测系统虚警处理框架。该框架可以自动适应环境的变化和攻击技术发展带来的变化，从不同角度减少虚警，提高警报数据质量。 　　关键词：网络安全；入侵检测；虚假警报；自适应 　　中图分类号：TP309文献标志码：A 　　文章编号：1001-3695(2009)06-2141-04 　　doi:10.3969/j.issn.1001-3695.2009.06.043 　　 　　Research and realization on adaptive framework for false alarms reduction 　　DUAN Xiang-wen 　　(School of Computer Science, National University of Defense Technology, Changsha 410073， China) 　　Abstract:On research of the causal of false alarms and existing techniques in false alarm reduction,this paper proposed an adaptive framework.This framework is able to auto-adapt to the variation of environment and the movement of attack techniques, improves alerts data qualities and reduces false alarms from multi point of view. 　　Key words:network security; intrusion detection; false alarm; adaptive 　　 　　IDS（intrusion detection system,入侵检测系统）对于保障网络安全有着重要作用，然而虚假 　　警报问题却严重影响到其使用。来自IDS底层的大量虚假警报，往往使得管理员疲于应付，大量精力耗费于虚假警报，难以从中辨别真实攻击，对所发生事件无法作出准确判断，并快速、及时地响应；甚至有管理员因此忽略所有警报。减少虚假警报，提高警报有效性，已成为IDS使用过程中亟需解决的问题。?? 　　 　　1 虚警处理技术分析?? 　　 　　目前已提出的虚假警报处理技术大体可分为两类：第一类手动配置IDS以过滤虚假警报的方法，第二类自动分析并减少虚警的方法。第一类方法主要通过调整IDS检测策略，包括IDS的放置位置、IDS检测规则、检测特征、警报严重级别等来实现。可采用专家分析的途径，根据用户关注目标制定相应检测策略，也可使用特殊的分析技术，如Julisch[1]提出的根原因分析方法，利用数据挖掘探寻虚警产生的根原因，再以此为依据配置IDS。第一类通常可将IDS警报真实率提高至60%以上[2]，但也存在明显的缺点：a)在配置IDS前需清楚地了解网络拓扑及站点知识；b)规模大且拥有多个IDS的网络中，配置工作量大且繁琐，很可能会因此导致配置失误。?? 　　第二类属于自动实现的方法，主要包括多种检测技术相结合的方法、脆弱性评估方法、警报验证方法、自动分类并过滤的方法和警报关联方法。?? 　　多种检测技术相结合[3]的方法，如将主机型与网络型检测结合、滥用与异常检测方法结合，特征分析、协议分析、统计分析多种分析技术结合，可以提高检测性能，从检测层减少虚假警报。很多系统已采用这种方法，如EMERALD、DIDS、MCAfee Intrushield，取得了比较明显的效果。但是，由于检测技术本身仍不够完善，目前仍需其他各类方法的辅助。?? 　　脆弱性评估方法[4]使用脆弱性评估工具分析网络薄弱点并自动配置IDS，有助于从检测层减少无效警报，但局限于已知攻击漏洞和评估工具本身，会出现对未知攻击漏报的情况。?? 　　警报验证方法采用警报验证技术来确定警报的真实性，典型的应用如Cisco的威胁响应技术[5]。该类方法又可分为消极验证和积极验证两种[6]。消极验证方法预先收集网络拓扑、操作系统、开放端口等信息，以此判断目标是否存在漏洞，从而确定警报是否有效。消极验证方法无须干扰网络设备的正常运行，不会运行额外的测试从而延迟响应，但是存储为先验知识的网络状态与当前实际状态之间往往会产生偏差，从而导致判断失误。积极验证方法通过检查目标主机上的信息来寻找攻击成功的证据，通常需要与目标机建立连接并对其进行扫描，准确性高，但需消耗网络带宽以及被扫描主机的系统