分布式入侵检测中的报警关联方法述评

一个攻击者要完成一次成功的入侵通常要通过几个步骤来完成,而这些步骤之间往往不是互相独立的,前面的步骤通常是为后面步骤所作的铺垫。但传统的入侵检测集中于检测低层的入侵或异常,所检测到的结果仅仅是一次完整入侵的一部分,不能将不同的报警信息结合起来以发现入侵的逻辑步骤或者入侵背后的攻击策略。如果将不同分析器上产生的报警信息进行融合与关联分析,则会更有效地检测入侵。文章介绍了几种报警关联方法,其中重点介绍了基于报警信息先决条件和结果的报警信息关联方法,并对这几种方法进行了比较和评价。

基于报警序列的入侵场景自动构建

传统的入侵检测系统(IDS)由于其规则的抽象程度较低,导致一次攻击行为会产生大量重复和相关报警。研究表明,入侵场景可提供较高层次的抽象来表示攻击过程,但是已有研究方法均无法在线生成入侵场景。提出一种自动构建入侵场景的方法,将原始报警按照(源,目标)IP对和优先级分类成不同超报警序列集合,从中挖掘频繁闭序列作为入侵场景。在Darpa数据集上的实验表明,该方法可以满足在线运行,并可有效发现攻击过程。

一种入侵容忍系统在Internet上的应用

给出了一种在Internet环境下使用的入侵容忍系统的体系结构.在数据挖掘单元中加入入侵容忍模型概念,当数据挖掘单元发现异常情况时,立即建立入侵容忍模型,并以超警报方式通知系统控制单元进行处理.该体系结构有助于增强系统的稳定性.

多步攻击告警关联模型构建与实现

为精简入侵检测系统产生的大量报警信息和分析攻击者的目的和动机,提出了新的报警信息关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。实验表明,该模型提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。

一种基于关联分析的攻击场景构造方法

将IDS报警归类为若干种超报警(Hyper-alert)类型,为每种超报警类型定义相应的攻击条件和攻击结果,通过对超报警的关联分析,生成超报警关联图,构造出攻击场景,从而揭示攻击者的攻击策略和攻击意图。

一种基于多因素的告警关联方法

入侵检测系统作为保护网络安全的重要工具已被广泛使用,其通常产生大量冗余度高、误报率高的告警。告警关联分析通过对底层告警进行综合分析与处理,揭示出其中包含的多步攻击行为。许多告警关联方法通过在历史告警中挖掘频繁模式来构建攻击场景,方法容易受冗余告警、误报影响,挖掘出的多步攻击链在某些情况下不能反映出真实的多步攻击行为。为此,提出一种基于多因素的多步攻击关联方法。通过聚合原始告警以得到超级告警,降低冗余告警带来的影响;将超级告警构造成超级告警时间关系图,同时结合超级告警间的多因素关联度评价函数从时间关系图中挖掘出多步攻击场景。实验结果表明,该方法能克服冗余告警及大部分误报带来的负面影响、有效地挖掘出多步攻击链。