应于下代分布式侵检测系统多传感器数据融合.PDFVIP

翻译说明： 原著：《Multisensor Data Fusion for Next Generation Distributed Intrusion Detection Systems》 作者：Tim Bass 来源： h t t p s : / / w w w . r e s e a r c h g a t e . n e t / p u b l i c a t i o n / 2741235_Multisensor_Data_Fusion_for_Next_Generation_Distributed_Intrusion_Det ection_Systems 翻译：derta 时间：2003-1-30 注释：红⾊为笔者认为重要的或较好的部分，蓝⾊为笔者认为翻译值得商榷的地⽅ 应⽤于下⼀代分布式⼊侵检测系统的多传 感器数据融合 摘要： 下⼀代计算机空间的⼊侵检测系统将从异质的分布式⽹络中的多传感器融合数据，以 形成计算机空间的态势估计（cyberspace situational awareness ）。本⽂初步提出了⼀些使⽤ 多传感器数据融合作为基层模型的⼯程要素；概括了当前基于Internet的⼊侵检测系统和基 本的数据融合构架；使⽤TCP/IP模型开发传感器框架模型和数据库模型；推荐使⽤SNMP ASN.1 MIB结构表⽰依赖于内容的威胁和脆弱性数据库。 ➢ 介绍 ➢ ⼊侵检测系统概述 ➢ Internet⼊侵数据融合 ➢ 基于融合的⼊侵检测系统 ➢ 传感器数据缩减（Reduction ）和威胁对象 ➢ 结束语 ➢ 致谢 ➢ 参考⽬录 ➢ 关于本⽂ 介绍 据估计安全评估⼯具的市场从1999年起以每年1.5亿美元的增长率增长，到2002年已经 超过了6亿美元[1]。能源部（Department of Energy ）近⽇召集⽹络安全专家就恶意代码、 异常活动和⼊侵检测等领域向美国政府的RD技术规划提供指导[2]。显然，快速增长的计 算机空间⼊侵检测和态势评估市场⾯临严峻的技术挑战。 图1说明了态势评估推论的层次在计算机操作（cyberoperations ）时既要⽀持作战管理 又要⽀持⽹络管理[3]。商业和军事都需要对计算机空间的⼊侵检测和态势评估系统；在充 满⼲扰的环境下精密的电⼦器件必须能够辨识对象，跟踪对象，计算速度，估计有计划的 威胁。这都是需要⼀定技术的。 Figure 1: Hierarchy of IDS Data Fusion Inferences ⽹络安全技师认为当前的IDS 在技术上还没有先进到⾜以抵御攻击的悄⽆声息（non- signature based cyberattacks ）（下⼀章详述）。NATO 的服务器遭受到来⾃于Serbian⿊客的 联合暴⼒攻击，他们使⽤了邮件炸弹和⽹管⼯具，通过消耗⽹络资源使服务器拒绝服务 [4]。1997年，The Langley Cyber Attack的邮件炸弹事件在关键基础设施的保护⽅⾯向Marsh Commission证明了当前的IDS不能应对对重要计算机的软硬件严重威胁[5]。导致这⽅⾯不 ⾜的⼀个原因是IDS 的误警率⼀直令⼈头疼。当技术资源不能部署到计算机系统或调查⾮ ⼊侵事件时安全资源被误导，误报警导致了严重的组织损失。实际上总是误警的系统对于 ⽤户的信⼼是毫⽆⽤处的。 Figure 2: Cyberattack with Multiple Sources Targets 另⼀个原因是态势估计技术在我们的关键电⼦基础设施⽅⾯还只是刚刚起步。⽹络中⼼的 指挥员没有可信的⼯具以辨识、跟踪和估计“i-objects”的多重攻击，例如图2 。在计算机空 间⾮对称冲突中的对⼿占有优势是因为没⼈统治并且有权利者只有很初级的态势知识；这 就导致了今天的计算机空间的空隙或权⼒真空。 下⼀代的IDS需要从各种异质的分布的⽹络传感器融合数据。第3章概述了这些⾼层的 IDS融合需求，这也在我们最近在ACM上发表的论⽂[