审计系统中基于状态机的实时关联分析子系统研究与实现.docx

审计系统中基于状态机的实时关联分析子系统研究与实现 计算机与现代化 2006 年第 6 期 JISIIANIIYUXIANDAIHUA 总第 130 期 文章编号:11116-N75(2006)06-0(N-g3 审计系统中基于状态机的实时关联 分析子系统研究与实现 陈世强. (湖北民族学院，湖北恩施445oo0) 摘要:网络集中安全审计系统的研究与应用已经成为国内外研究的热点?在海量的 网络事件中，准确实时地检测分析入 侵安全事件的类别并自动响应是集中审计系统实现中关键的技术,也是最大的难 点.本文研究了基于状态机的实时关 联分析予系统的实现技术，其中详细分析了攻击场景描述，场景库和分析引擎的实 现方法. 关键词:审计系统;关联分析;状态机;场景库;实时 中图分类号:TP393.08文献标识码:A ResearchandlmplementationofReal-timeAssociation AnalyzingSubsystemBasedonStateMachineinAuditSystem CHENShi—qiang (HubeiInstituteforNationalities,Enshi44.5000,China) AbsWact:TheresearchandapplicationOfnetworkconcentrationsecurityauditsystemisbec OiJ Igthefocusofworld.Itispivotaland di ?euhtoaccuratelySlldtinmlydetectthecategoriesOfintl ?o nevents.Thisp ￡ lpermainlyresearchestlleamp;signandlealonofre81 timea 吕 80cinaIla 】suhsys ?n basedon8tp ?temach ?,analysestlledf W 谢 onofauaeksceneandn 1 erealizationofSCelrl ? 也 1 乜 bBseandalengililldetail. 1【ewords:audit?tem;assocmfionalmbllg;statemaehme;scer 出 Ilabase;zeal-tlme o引言 网络的复杂化及攻击手段的多样化导致了单一 安全设备难以准确地判断入侵行为及入侵行为造成 的影响,目前 ms（IntrusionDetectionsystem,入侵检测 系统）的高误报率已成为安全管理面对的难题???1?网 络集中安全审计系统［2］作为比IDS,防病毒网关，防 火墙等安全设备更高层次的安全系统,可以通过有效 的关联全网的安全事件从而给出更加精确的判断及 有效地分析攻击的有效性，提高IDS之类设备的信噪 比，减少安全管理员的分析工作量. 网络安全审计系统中的入侵检测分析主要包括 实时关联分析和事后（离线）分析?后者广泛采用的 是数据挖掘技术,通过对数据源进行关联分析来发现 不同事件间的相关性，通过序列分析发掘不同数据项 之间的关联性.常用的离线关联性分析算法有 Apriori及其改进算法，序列分析通常采用ApriofiAll 算法等.实时关联分析需要做到实时地关联全网的 安全事件，实现安全事件的实时分析与自动响应?实 时的安全事件关联分析技术正是目前研究与应用的 热点，本文主要基于状态机技术研究实现网络安全审 计系统中的实时关联分析子系统. 1基于状态机的实时关联检测技术 实时关联分析技术L3J通过对事件的关联,可以有 效地帮助过滤事件，在大量事件（甚至是误报事件）屮 提取有用的信息?实时关联来自不同设备的事件，可 以大大地降低IDS的误报率，发现引发事件的真正原 因和隐藏的威胁?例如:如果接收到以下事件:①交 换机或路由器记录了某主机大量访问其它主机的 收稿日期:2005-06-22 作者简介:陈世强（1974-）,53,湖北宜昌人，湖北民族学院讲师，硕士研究牛，研究方向: 计算机软件,计算机网络与安全. 2006年第6期陈世强:审计系统屮基于状态机的实时关联分析子系统研究与实现 95 TCP 139,445端口;②SNORT记录某主机产生了大量 对其它服务器的IIS攻击?单看某一类事件可能判 断为II s攻击，然而关联分析两事件后会发现可能是 该主机感染了蠕虫病毒. 要在海量的网络事件中进行人为的关联是不可 能的，在实现中借助状态机技术来实现实时的机器关 联，使用状态来维持基本的关联条件，通过事件来触 发状态迁移，每个攻击场景都由数个状态构成，当通 过状态迁移与状态机完成规约后，便表明攻击场景发 生.图1描述了可能的蠕虫攻击的状态机. E2 E0:网络设备发现大量对TCP 139,4