网络入侵检测系统关联剖析技术.docVIP

网络入侵检测系统关联剖析技术 　　摘要：随着计算机网络的飞速发展，信息安全越来越受到人们的重视。入侵检测技术作为保证计算机网络安全的核心技术在保护计算机安全方面起着越来越重要的作用。本文从入侵检测技术的基本概念和发展入手，以攻击事件的关联分析方法如何减少入侵检测系统的误报及漏报率进行了综述和研究，同时讨论了入侵检测系统面临的主要问题及今后的发展趋势。 　　关键词：入侵检测系统 关联分析预测 攻击脚本关联 元攻击行为建模 　　中图分类号：TK2513.4 文献标识码：A 文章编号：1007-9416(2011)11-0237-02 　　 　　1、前言 　　电脑网络的快速发展，产生了许多新型的应用及信息的沟通方式，但也产生了许多网络犯罪及入侵攻击事件，一方面是因为软硬件具有可被入侵的漏洞，另一方面网络及系统管理员希望能够安全地防护所管理的系统及敏感信息，所以信息加密技术、防火墙、杀毒软件等安全防护措施便应运而生。时间证明一直以来这些技术仍然无法杜绝攻击事件的发生，因此具有不同技术和特性的入侵检测系统（Intrusion Detection System，IDS）成为信息系统的第二层防护。入侵检测系统是由软件或硬件所组成，用来主动监测在信息系统和网络中所发生的安全事件。当主机被攻击时，入侵检测系统分析主机所遭受的入侵程度和损害程度，并依此发出报警，使管理员可以依据报警信息作出即时的反应和事后的修复工作。 　　2、研究问题 　　2.1 问题分析 　　目前入侵检测系统主要面临以下几个问题： 　　(1)因为不同入侵检测系统的特性及检测能力不尽相同，单一的入侵报警无法完整且正确的搜集系统所受的威胁及所面临的攻击事件信息。如网络型入侵检测系统，无法确认主机是否实际遭到入侵；而主机性入侵检测系统则无法得知入侵前攻击者所采取的攻击方式。 　　(2)入侵检测系统会产生的正确报警，可以提供报警的重要性级别，但是无法关联某项攻击的流程和顺序，造成管理员无法即时对攻击事件作出回应或修复系统的漏洞。 　　为了解决上述问题，若能研究出一套能有效处理不同入侵检测系统报警信息的方法，除了可以过滤误报并减少管理员负担之外，并可以借由高重要性攻击知识库描述机制的引入，来引导低重要性报警信息的整合，并提供足够的关联分析依据，用于从报警信息中迅速提取出完整的攻击脚本和攻击路径，最后提供优先顺序来帮助管理员判断处理攻击事件的发生。 　　2.2 研究方法 　　本研究的解决方法是引进元攻击（Primitive Attack）作为高级报警信息来整合不同入侵检测系统所发出的报警信息，并以元攻击信息为基础来关联出攻击脚本（Attack scenario），再以隐藏式马尔可夫模型(Hidden Markov Model, HMM)来判断攻击脚本的优先顺序。 　　(图1)是以元攻击为基础的入侵检测报警关联系统的架构图，大致分为左侧的元攻击的建模与检测子系统，以及右侧的以元攻击为基础的攻击脚本关联与检测子系统。左侧子系统主要负责建模与识别元攻击，基本概念是利用自动产生的原始攻击模板来整合不同入侵检测系统所发出的报警信息，使其统一格式为元攻击，一方面可以减少报警数量，另一方面可以提供更有实际意义的高级报警信息，以降低右侧的关联处理负担。右侧子系统则利用元攻击为基础来进行攻击脚本的识别，再通过攻击脚本的减少及删除，来过滤错误的攻击脚本，并经由HMM计算发生几率后加以排序。管理员可以根据排序后的攻击脚本所提供的攻击信息，针对目前的安全状况作出正确的评估与反应。 　　2.3 系统架构 　　本文以高级攻击计划为关联基础的概念发展出一套新系统，此系统能够自动建立攻击子计划（Attack Sub plan），并利用子计划的组合来进行脚本关联，关联后产生的攻击脚本再利用整合及几率的方式来找出最重要的攻击脚本并预测最有可能的攻击。 　　3、系统分析 　　3.1 元攻击（Primitive Attack） 　　所谓元攻击是依据元攻击模板（Template Primitive Attack)所制定的规则及限制条件，将异质入侵检测系统的入侵报警信息整合为高级报警信息。之所以需要元攻击来整合异质入侵检测系统的原因是，不同的入侵检测系统的特性和功能都有所差异，若以单一的报警进行攻击手段的分析往往会因为数据的正确性和依据的不足导致无法正确识别出攻击脚本。因此在本系统中使用元攻击作为组成攻击脚本的基本元素，并利用元攻击的特征相似度作为关联攻击脚本时的判断依据。 　　3.2 攻击知识实体（Attack ontology） 　　之前所提到的知识实体是一种将特定领域概念化的工具，并利用这些领域的正规化描述概念来达到知识分享以及再使用的目的。本文参照MIT Lincoln Lab