入侵检测报警相关性及评测数据集的研究.docVIP

入侵检测报警相关性及评测数据集的研究 　　?? 收稿日期：2007-11-03； 　　修回日期：2008-01-11 　　基金项目：国家科技支撑计划资助项目(2006BAF01A21)； 甘肃省自然科学基金资助项目（2007GS04066） 　　?? 　　作者简介：刘密霞（1976-），女，博士研究生，主要研究方向为网络安全(liumx@). 　　 　　(兰州理工大学 计算机与通信学院 兰州 730050) 　　摘要： 　　首先对报警相关性技术和方法进行深入的研究，分析各种报警相关性方法的优缺点；在此基础上提出了基于多源数据融合的报警相关性功能模型；然后对报警相关性的评测数据集进行了讨论，分析它们适用的范围和存在的问题；最后指出了报警相关性的发展方向。 　　关键词：入侵检测； 报警相关性； 数据集； 数据融合 　　中图分类号：TP393 　　文献标志码：A 　　文章编号：1001-3695(2008)10-3108-04 　　Survey of alerts correlation and testing dataset of intrusion detection system 　　LIU Mi-xia ZHANG Qiu-yu ZHAO Hong YU Dong-mei 　　(College of Computer Communication Lanzhou University of Technology Lanzhou 730050 China) 　　Abstract: 　　At first this paper studied technology and method of alert correlation for analyzing their advantages and disadvantages. Then presented alert correlation model based on multi-sources data fusion. After that discussed evaluation dataset for analyzing their used scope and existent problems. At last described future research and development. 　　??Key words：intrusion detection; alert correlation; dataset; data fusion 　　0引言?? 　　在动态网络安全模型P??2DR中，IDS是其中一个重要的组成部分，扮演着数字空间预警机的角色[1]。IDS根据它的检测机制可分为误用检测和异常检测；根据它们所分析的审计数据源可分为基于主机的IDS和基于网络的IDS。依据特征进行检测的网络IDS因为良好的检测性能而被广泛使用，但是它们是根据每一个恶意包进行报警的，而且容易检测到许多复杂攻击的单步行为，因此会产生大量的、重复的报警。此外，IDS的误报率和漏报率都很高[2]。当产生大量的报警或是很多错误报警时，网络安全管理员将被这些无用的报警所淹没。更为严重的是，由于报警的大量到达，安全管理员不能及时地作出决策并进行响应。?? 　　为了解决IDS所带来的问题，许多研究人员从2000年开始进行入侵检测报警相关性的研究。目前提出了大量的分析方法，如报警聚类[3~6]、规划识别[7~9]、因果推理等[10~13]。Tim Bass提出了下一代网际空间的入侵检测系统需要融合来自多种异构分布式网络传感器的数据来有效地创建网际空间的态势意识[14~15]。文献[16~19]讨论了来自不同安全工具（如IDS、防火墙、系统检测工具、脆弱性扫描工具等）的多源数据的相关性处理。?? 　　进行报警相关性研究可以实现如下目标：a)通过报警聚类来减少报警的数量；b)通过管理、分析和解释报警数据流，可以提高报警的有效性[3]；c)通过相关独立的报警来构建攻击场景并从其他安全工具获得入侵证据以减少误报和漏报；d)在攻击发生之后发现入侵者的攻击策略，识别下一步的入侵行为，并进行入侵响应；e)通过融合来自不同网络级别的IDS报警来扩大IDS的检测范围；f)进行有效的威胁分析和网络安全态势评估。?? 　　1报警相关性技术与方法?? 　　报警相关性处理是指对IDS所产生的大量报警进行精简、提取、验证、推测大量报警背后发生的攻击意图，其一般处理过程如图1所示。首先通过报警聚类减少报警的数量，再对这些元报警进行相关，过滤掉错误的报警；最后根据报警之间的因果关系构建攻击场景。?? 　　1.1基于聚类的报警相关性?? 　　报警聚类通常处理的是合并由一个或多