维普资讯http: //ww.wqcipvcom.
第33 卷第 1期 7 V
3 o.1 3
・
计算
机
程
工200 7 年月 9
Sp t mbe 00 e e r 72
No 7. 1
C
op t rnE i ren mu e g ne i
安 全技术g・
文编号章l:o_4 8o7l_l o. 文 0献_ 3(02) —07_ 3 0 2 73_ 标 码:识 A
中圈分 号: 类0 P T39
入
侵检 测 报 警 联 技 关术 姜
元 赵, 军(
邮 电 大学计算科机学与 术技 究所 ,研庆重 4 6 0 )庆重 005
要■:报警 联技 术关析不分同安产品全产生的报 警,从识另出中正有真意的义击攻报 ,并减警少量大的报误警, 0 降 安低全管理 的工作 员
量
。该介文绍了报 关联警基的本模型和主要术技,分析 主了的要关联法 ,探讨方报了警关联技 的术展 方向。发些这讨论对 应 用发展报或 关警技术联都有考价值 。参
关健
:入诃检侵 ;测报警联 关网络安;
全
It u in De e to etC o r tln Tc n q e n r so c it nAl r re i a hei u s
o AJG N a u n-ZHAO uI hZo y a ,Jn
( s. of. c. Tc. og giUnv oo ta dT c m.l oCg ig4 0 6)I to mp S i& e h,n C Ch n q n .i fs n e eo h n ,qn 00 5 P s
[ sr
c n ] st nee tn tcn gl er olm e ytt haoh rT aet eolr ntt n lg nczsl r ela efdo btA at a My ri i cti h oo is em pen a ect e h .lr r ai c h o yaoya e e snr tm unod o e c ra O e o eatg er
d fe e e tu r dc s Ot a sa l s rae r agl e u e r ,a t c emoe e s l i cr e a cr igy hr o dno ses i nrs ct y pro u tS, h t f e a e l te y r cd edla t k sa f i t ra r r a iy d s n edc o dn ,le wtkol a y tm ,
a m
ii t t r s l lg e es .d ri,b sc om es dat c n o e g af eo e a i a e n sdu
s .dIo a tc r ea i l t odn s r os i a ey r l aeHe e na i d ln eh o islo l rc r tlo ic s e ar tr m r p no l t on agt rhs a me i r a a ey ;n e o e me te d n ios lr o e ai n t co oi s a a es rd c e n l dz a dd vl p n e cne fa e r clt oe hnl g e lo p ei t . dt t r
[ ywo
dlt io s ecina e o aien n t cryr K er ns irnt t d; lcrr lt ;ewos uk t ue o to i
e入
侵测检技 分为异常 术测和误用检测检两 类。误用与检 测 相,异比常测检发现新 可的攻 击 ,误报率很高 但。实事上, 任 一种 何一 的技术 单或统系不可都解能所有决的 全安 题问
于 ,是警报关技联应术 运生而。报关联警术通技过 种多不同的
补性
。
报收警集预处和 多为空理上间的 横融合操向作, 般在一
接连多 个构异I S独立D的关 系联统中进 。 收集模行块集来 收不自同I D产S的报警 生其中,预处理模
安全
系统 互协相,对作产 各的品报进行综警分析 合,而从得
到更准确 、更 实、更用理易解 的深次层报 告 。 本介文了报警绍 联 关的 本基模型 和要技主 ,术分析了 主
块使
用准的 标IME D F 式格”对来 些报这格式警行规进 。范 规
范 的报后主警要以有字下段 :Sol e sr n,ADtcca rls , klstSc,P a
eD Pt ,SPort D et tBe Ti en, nd Eme。 s lc , rsor P, ig m T i
要关的方联法 探讨了,报 关警技联术存在 的问 题 。
1 报
冗余 警并归 . 2
警报 归并块 模负责存在重将复 关系并发关系和报警的重 新 归 成并条一 新报警 的假。 设 报警 有1AA : 和 若只有2B gn 和 i d iE eime n TmeT同,不并时且之间差小于
报1警关联型 模报
关联是指警识 别和集不 收 I DS产同 的生警 ,报规为 范统~ 格 式并,过通并和关联归等式方来识 报别警之间 在 存的 联 ,重系建击攻景场,发 现深层次报 警,生综产合报 响应 警 技术的。 基本其模型图如 1所示 。
设 的定值 闽,则满重 复足关系
若;只 S有 ol ensr D ,Bg n eiTie和 Em di e
不 ,并同时 且T n m之问差小设于 的阈定值, 满足则并关发系。
重对复并或发警 ,一种方式报简是单地直接它们 归并将 为 A(e
sr SE c Ds P Se o tsot nB g ni e S,nlorl et r,PrD etr iM ( e m l D,i , l ,P
TB
n g i,2x Ed i lE id )2 eiTem M) a(n Te, nm Tme。)种 方这式 归使并之
后
录记 攻击持的续 时间长 。最另一种方是根式报据警属性的
关 联 系 统
报警
冗归余并
相 性似,通过 有效 的算 法来实现 报警 归并的,I MSD A引
了模糊隶入 函属来计算属数性相度似 ,通对这 过属些权重 的 性
ItEM规范 警 报 D F
报 警 集收 和预 处 理
控制
,以可现实同报警、 似相警报 和不 I 同相DS报警 归并的 。 1 警 报关联 .3 警报关联处理的都是 过经归后 的并超警 。入侵报者 为 了基金项
:目 自庆 科基 学金资项助且 l(1;重 然 9l )重 庆市教科 学委术 研技究 目项 (00 ) 0 59;重庆 自科学基然资助金点项重且(0 5 A 30 4 0B220 )
啦
f 啦 f ’ 1原 于 ’ 矗始
… ・
j 瞢
图
1 报警联模关型
1 警收报和预集处理 . 1
传统的 I SD限于局单一主的机或网架络,对构异构系统
作筒者 介:姜兆 ( 8 一元) 男 1, l ,9硕士 , 研方主 :向 算机计网 安全络 ;
赵军 博,士、 教 副
授及
规大模络的网测监明显不 足。 多用异个 I 采构D S警 系报 统, 使不 同来 源报的信息相 警补互,充挥发 各 特点 ,增自 强了
互稿牧 日:20 - — 3 0期 61 90
Ema
za:a y g im cri- i hou n @a ga n .lj nlo
一
3 1 ~
7
普维资讯h tt:p//ww.wcqip.vocm
达到
入 目的侵通常,执行会一系列 攻的 击,报关联通警分过 析各种 初报警,得 始到高层次的攻 报击 。告关方联法报是警 联的核关,心直接决 系定统 的性 。能
一
次击攻所成组的 个各骤最有可能步在一时个窗间 内以一
口个
较 的概高 率生 。Q 发J 引入n了 问序列分析时 预测的方 li 等 法, 核 心的 关 算 法联 采用 了 种一时 序 因果 分 析 方 法 G T a grcug at ts,通 计算过报事警之问的件 GC C (r e nasy le i t I)
2
报警关 联法方
联方法一关分般两为类 需: 先验 要识 的知关 联方和法 不
要先需验 知
识的关联 法 方。
指
数,实报警关联现。 种这计 统因果析分方还法能不进完
整 行攻的过程的关联 击但它可 以作,系统的一部分来发现为阶 段性 的攻击序列 或用提于超级报供的特征警。
21需要 验 知识先 的联方关法 . 先得最到注的关是就需 要验 知先识的关联 方 。法根知 据识
的不类同型以进可一步 细分 为于 基击场攻景知 识的关联 方 法 和基单于攻击前因个后果的关、 联方法 j 。( )1基于攻击 场 景识知 的联关方法 击攻景是指场有具同特征的共事集合件。一完次 整攻的
23
性分能析 由于.现主在流的 分方析法基是攻于前 击因和果后信的 关联 息法及方于基计统 的关联方法,对 两种这法方用实验数
集 据LD O1 L S.0进 测行,试其结 如果 2图示所 。
过程击通经历常 个步5骤 J 息收 集, 洞探 漏测权限, 提 。:信升 , 实破坏施,攻击 痕清迹除。因,此可 对属一同个攻击 场
景的报警进 行联关。文【献】8根据攻 者采击 的取攻方法定击义
了7种攻击 景 ,优场点方法是单、简易实现容开、销 小缺。
点是能不现新 的发击场景攻。 基于场景 配 匹的方法护维起来代价 比高 ,较且而不 自能
适应动环 的改变境 扩,展也性不 好,不发现新 的能攻击 , 这影
响 到它的 壮性健
() 。 攻 于击 前因和 后 果 的 联关方 法 2
基
原始口检 辜 测
原 始困 报误率
圈
于基前 因后 检测果 率■ 基于 因前果 误报 后
堇率
坌
皇曼 旦! 董 坌皇塑堑 竺 堡 堑
任何一
个 攻击都 具 有 因和后果前前。 因就是击成功所攻
图
2 关 联法方验结果实比 较
必须具有 的前提条 ,后件就果是 击成功实攻 施所造成后 的 结果
。一在个有个多击攻作动组 成入的 侵中,一前个攻击 后 的果 是下就一攻个 的击前因。基于 这思 一想,首先 定每义个一 单独攻 的击 前因后、 ,果然就可 后将以具 因果有关系 的击 攻关联在 起一 重, 整现 攻个 过程击。
通对 比,过现发联报关警可明以显减少地误报 ,从原 率始 的9. %分别少到减1. 和 5% 6不需要先 验识知关的 3 6 2 6 . %,2
联方虽法减轻了然理员管工作 的但,误是率报比却于先验基
知 识 的关联方高法 。时发同经现过联操作后检关测有少率许 下 ,降如何降在误低率报的同 时保,或提持高检测其是一 率个较 解难决的问题 。对 他其性属 的较比果如结表 所1示 。
表1 性蕾 比
较
H N9 CP 是一种典t型的 基于击攻前因 后果和
的关联方。 1法 该模 型
可以通 引过入n ra 状来态吸误收警 ,om l为生成 的 报
提告 供了置 水平 ,信可以用相应于决。但是存策 下在列缺 点: 同 种 学各习算法一样 容易攻被击者骗 ,欺记的训练标数集据
很难获 得。
由于指出单个攻击的只 前因果 ,不后必事先道知个整攻 击 程过 因此不必手工产生,大的量关规则联, 还可以别和识 报告不 同攻 组合形成 击的攻击过程新。但 不能处理新是击攻 不知道其前 因、(后) 果只适用于,击步骤 攻关联的 另外 ,。 由 于联时搜索关空间较大 ,对计 机算源资消大 ,耗不合在
线操适作 。
( )1对 验知先识 要求的知和识 取 获的法:不需要先验知方识 关 联的法方维护 起 来较比便方,但是 性能不如需 要验先知 识的法性能 方高 ,如果能 自获得知动识 ,实性用会更大 。 () 新场 景2的发和现在关线联: 基先于知验的识关联法方比要不 需要 验知先 的关识联法方一些 。弱从实但 时处理 角度基于 先验,知 识 的关方法具有优势 联 。( 3扩展)性和多源报警关联 : 然以虽关联方上法, 多在源警报 关 联 上可都以分析 种多型产类生的报 ,增警强了安 全产品互的性补,
22不 要先验需 知 的关识方法联 .()
于 击攻 属 性相 似 性的关 联 法方 基1
研发究,属于 现同一攻个 的报击警常有一含些相 似的 属 。川性 V 。ell等提 了基出于概相率 似的入侵度警关报 联。 。 d saI
系统,基攻 于属性击似性相 的关联方 通法过 以下个几骤步 报对警进行 关联 :( 1)算报 计不警属性之同间的相 度 ;(似 )当新 2报警到来的 时, 已存在 与所的有 警线报 的程相应属性值进行 比 较计算它们之,间的 相度 ;() 3似将报与报警线程警似相 度
但
是在扩展 上都存在性一 的定缺 。陷具有 好的良展扩性关联方的法 ,
在杂 复的环境中 会 发挥更出色 作的 用。
解 从总体的报决 关警联来 ,看没有个 方案一 可被以认为 是 “ 最 好” ,的多更的表是现出 互了补 。性最 近研究的倾向 于结合 各不种的同法方解决复杂的来网络全安 问 。题
最大并超、过 定阈值的设报警融合报到警线程中。若 超过不
设阈值定,则 生一成新个的警线报程 。实验结果 表明, 通过关联分 析,可减该 1 少 /-/ 32报 的2警 数据 缺,点分析是 比较 的报警须具有必共 有的征特 也,不 能 现发报 间的因警果关 系 。 )( 基于统2 因计果分的关析联方法 统方法主计 基于要下如事 实
” _j :在多攻步所产 生的报击 警 属性间具之有统的计 相似性, 攻击各步 之间 在 存果因关 系。
一
3 结
本论文绍介 入了侵测报检处理系统模 警型 ,各对个 模的块 基本 术进技 了分行析 ,类讨分 了目前论关方法的联优点 缺 ,
指了当出存前 在的多 问许题, 实从验结来果 看,关方法联还 存 在很 多题问需要决解, 联方法关实时处的能理、力扩 性展 和健性壮等方都有待提高面 。
41 7
一
维普讯资h tt://pwww.qvci.pom
c
参考文 献1
ETF nr so nI I tu iDe to e Exh n e tincc a g Fo ma o W n kr p.T G t rri gu ohe
N
eo k w a dDt i be ty m e iyuS mp im. U 4- 2. t r n s r ut d Sse cS rt osuyZ O 0i 8D ae W e pi A e agi n d aC oea in o n r so- ee tn b,Hr s .Agr gt o rlt I f t nid t ic n o u o
I
t sn ee t nnr i t D i eMsg xhn eo a B OL[. Irt eouco s aeE c a g r Ft /]n nt m E e
D r (f 40 0— . 8 :xt. v r a . edgat efi giwe- mat2 0— 70 ) h /tm1 oe p s gr r/f t d -i. p/ c o— - df
.x t t m 11 x ..2
Alr [
] r o. o  ̄r en R o n cd ca si n rs n e sC / o t P/cf Cn c n ee eAt ve n nt i I u
oe Det . : 05l 3 t c i2 0l 8一 0 . on
Y9 I rnv Qu lyo e e atPd ie tIt g dr e t u.Dpo imt g ia f r nr dc ire ’N x h t Al s n u snGo
l t id nHo oe P — t B OL .(t 6O0 ) t : ha i wh d Ce rd elr N[ / e 2 ] 0.5 t H iE p
sra c m ir sf .mo / dgy /ee h c. o to cr - on . u
M2u C. I uti ne e tD Anl fe i c t n nrso c i te t f ari B ea n o V i o s d oM u tl v l li e
eF z
yo
r h nie l avo [ / crf 2 0 tr a I a uoz C m e e sp E a u nC]tP o o .0 5n ent n vl i/ iCo
ne e c on f rn e C uo ian lne l e c a d m t tp ao tlIi n en S uet .Be l: g c r y rii S ing Vre g 2 l 0 9 1 p e - r ,r0 5: - n a 6. 3 rK gl u eCT.oh teDe a ite e t cn r l zd E nv Co r t lno I ut i era i f rnr so no
1 a d Ss inr P a ios c eA o ea o[ / c e igr 0 Vel A, kn Ke .rb b l lrt C rl inC P ]oe n s di it t/
o e 4 I htr ai a m psuo Re ent v n e In t iu fnt tn teh on n Syl io m n c d Aac s i n r s o
De e o t o.2 5 . t8cni2 : o4 6
.
eD e n t / rc oC te 4 I t hai n Cl eenc o t i [ Po]. f h t c o/ ne ta nr o o fnr n
e Ir fai e u n t y lg t. 0 .n o t mon c S y r a Cdrp o o 2 y10 4i C p n u p e sF A lr r e ian n o e a ein irn et oCl ot i Caop rt I v o tD ee t s uct io
n 1ijA l-. vl e ls r grItf snD t nSt on rS Mtu l el CAut i i r e i e sre 1 ai er t n eonu o c
oDt [/ rc fC neec nuz I f rai n r cisgaaC o .o] ofn e ro F z y n o P /m t oPe sn o
c Sey 2 -06 2 -8 .oit. 05 0 :6 2
1 o a F n P rsP A . o Mg2 a V sdA M.iso - p m - s dcAp r a h e l A s i n i a tb a e p co
a w Fr [] Po fI.E y o im n S rcy a d P iay mero kC /rc o E ES mp u so e ut
n c . r i /
v o22 o.
t OS I ACl Cm rlt n C r/ c ieg o t et No EF ar oaie[ ] o ed n s f h 5 ho P/
It r ian l y o s ou c n v n en I t sn oD e et n n et mp ai m nRe e Atda c s i n r i tc i n o S ou2 0 : 5 1 4 2 09. 1 .
N5iPg Ci An lz n ntieI t sAnl r i rCl tn C n ’ u Yay igI e sn ri e va o eti a[ ] n v u os o
P/o e n sd/ cr e gi o tfe 5 h t Ira in lSy o i m o Re e t h t n e t a nomp su n cn d Aa cs i n r s o t c n iu c Z, vn n I t i e Den e o .t hrS iwe l n2 0 uit ra d . 02 z. 6 u Y.DFn k i r ce D . NA e or me r o Al f r a ie ad v l F a owk fre t C l t ono n
1
nx . e Q i3 e
LaiSi C lai u n ls f IOSC A r ltt t a a sl yA ay o NiFE e s c t st
DaaC /r e ic fg h t Itr ani ly omi nR c nt[ ]o ed n s o 6eh ent a S m ps P/t n o u o e etAd
ac i snr so t ci t,s ghu P. 30 v.n e nI tu in De e ton iPb rt , 2A 0
nUes n [ d]r cfne ainl o f rn e d nt rigC / o.o Ir t a n t a / n o CP ene co Ap ld p i e C
pro rp y a dN ew o r e t u 0. 4 5: -6 y t g ah n t k Sc r y2 04 2 4 6 . i 7iNg P ii g tA c nc rs oTr e ’ e n trn o p m e n Bu l n t k Se ad a i h o tIga i fCol - o
1
x, n e A ct nlR c gi on r dicUs nCgal s iQ LeW. t k a Pe o n tanPeit
d i au 4 ia on
Nwoe [ /kr c o t e t 2A u l C mp nt rSc r ytrsC ] .o fh 0 hP/ n a o e ue t u
Aipl ai n p i t sCon e e .c0 —4 3 0 7 -c of n er 20 12 : 7 39.
me rtA te Crl t Mehnd [ /r c f te h n u lany lr oaie tos o .o / h1 t o C] P l A an
(上 第接10 页)7 5张
立和, 杨先,义 忻心等,.钮 件软印综水 述…. 件软学报 0 3, 2 0 ,
l ( )2 8 7 242: 6 — 7 . 6 a P esg ,Kr sns my l b r i hJa wa ,KSw oM e,a .E xe e c ihwn t1 pr n e i Cotu e n eimp t r S cec ,Un vri o A rz iesa y t ifo nTe h c, e R:pTR 0 — , 7 04 0.2 04 1 uC a DH, ul y 3r n r eN JC n iie , n e Md .S c rnO a aT r uh e g uJv ih o g
S
rf t ak n [ m r/ oc S 0 o e tWae igC]ro . AfC C 0A, eN ok CM wa rP w/ Y :Ar
P s r . 00:0 —6 e 2 0 s 8 3l3 .
S f
e rtowa War knr [/r c Pf P ’3 mti g C]ao . o P J.N eok C MeP / 0 w Y r:
PrAs . 0 :l 51 . e 2s0 3 4. 84
7
Vn ea a V zr n’ h i . ha Te tr p o co e tksR , aii nSaS A Grp o eiAp r h t ana V ch
1
u Gok an An l fst akn e iuhfsra h 4Q P to jk.M yioa e igT crn q e p s W ar m oGr
Cl r g P ol[ m rc o ] CA D’8N w Y :rM r s ,oo n rbe C / .o C ifP / I 9 . e ok AC Pe s
9 1 0.1 9 . 98:9 1 3
Sf eWreaaknm [Po] .I f10N w okAC P e s wo ar t rgC/ ri oc e Y :r M sr. /t
H’ .
2ol l 71 8 :5 o. 6.
8 oCl r be gl CKo o r。 Svb o u Ca, t rE ,a t ro.crre t g G r ps f re 1 erE -o ci a h o n
r1
P to jMk .dn intrs iGp roo n o uni 5QGuok n a H iiSg a e n a hCglr g lS stu io 【
]cro 9 . w Y : CMr r s , 99 38 3 7 / C .o H’f9Ne o k PA I/ P se1 9: 4 6-
. Sf erW ae akmn[ ] cr o h h Wo9k p o h a ohtw at r igr C/ o . t ef2 t P / r s o n G rp sT
h oe i ne s i p me c e ,clEpe , eN e rh asd e r to Ccpt n o Curt Snie c s e Tht te l n. 2o
o 3
. Zh W-1T o osn . O nh P Qgr h i S fr 6e uhm b orC te Aolt m no i wat
Wemaa n [k r c] Io5 2 0 4: - . tr 4irg C/ o . S f’. 0 5 6 667 P/ I 01
u o - uo n Ab tAa t n ep r ttn b s dF rm e Co tP so C s t 7.R sc rt ea i a -e a owr r rI ofk o
9 Co eg ll b C.r Tob rmnoh so CT. onw e ds n GD ynmi rGp ・a e a ac bh s
dS
fa o et r aWeakmn [] D p r on mpC r tc ce ,w rt ir g . R etat f oe Suin em
Uen vri Arz n ,f c pT 0R- . 0 4 ei t so io a eThR e :4 80 02 y
S f. r eaWmeakn ] r[. o O L .0eN Yr : CA Mt wo tar i C /g o P /c fPrP ' 4 owk Pr
s 0,4 : 7- 8 e s 2 013 15
1. 0C ol e C,Hu tg Ak re , r l bn wo r C a tE,e r 1ta G.r p e rctS fawe ah To e i o rt h 1 l g Ce,a t CrE , a b e
Co l1 r 8 b re Der y ,St . ynDm i t— ae o,w ea aac aPh bs d rS
Wa r a kI :lm eti nt mrs mepn t, An sl ,a dA t sc/ r f e ao cay i n kt[ / .oo a sC] PI
4 T ’r no Ca aa .0 4 H .o o o.t , n 2d 0
W
aemkna []r c oL ’ 4Ne Y r t : ir C / og. f PD . Iw okA MC rs, 0 4r P/ 0Pse 0 2 : l
. 1.07 1 8
1
MyeG Colge1 ls lr C.So ter fbaw W a eakn ru h rtr i gT go Re i rtm hg s
1e - a i R. r m y i D . 9 1Eh Kl Kl eo stA ydHn :n o ai Hni nnP o r maI f rt di i g r ag mo
Ala niI nalin l t :mp ceo o em t t,nAl s a d,o a in tAc C s/rc f ys t k [ ] o.o a /
I P S0 Ble S nre- ra , :0 7- 9. I CC3. ’rin p g: rVel 2 0g3 2 2 4 3 1i a o T S h o R,Co le gC S fwae .Wae ak nnt e eFu ny2 l r ob r tr tri g ih r qe c
m
Bn r sC] r c o IS0 , lg , pi .0 4 iia [/ o. f CC ’Maa S aa 2n0 . eP / I 24 a r , o so n.Ch den o reWatmea k[] c r0 N gaJ Tmbr T r aig S h o wa f trs /C o. r P/
o0. o o t . d n.0 4 .If ’ 4 HT n orCa aa 02
Do i
: mp en tnAn ls , d A cts . p r n man f lIe tm ,i ia a tk [ eDa tt a o y s an R] m eo
一
1 5
7
—
维普资讯http: //ww.wqcipvcom.
第33 卷第 1期 7 V
3 o.1 3
・
计算
机
程
工200 7 年月 9
Sp t mbe 00 e e r 72
No 7. 1
C
op t rnE i ren mu e g ne i
安 全技术g・
文编号章l:o_4 8o7l_l o. 文 0献_ 3(02) —07_ 3 0 2 73_ 标 码:识 A
中圈分 号: 类0 P T39
入
侵检 测 报 警 联 技 关术 姜
元 赵, 军(
邮 电 大学计算科机学与 术技 究所 ,研庆重 4 6 0 )庆重 005
要■:报警 联技 术关析不分同安产品全产生的报 警,从识另出中正有真意的义击攻报 ,并减警少量大的报误警, 0 降 安低全管理 的工作 员
量
。该介文绍了报 关联警基的本模型和主要术技,分析 主了的要关联法 ,探讨方报了警关联技 的术展 方向。发些这讨论对 应 用发展报或 关警技术联都有考价值 。参
关健
:入诃检侵 ;测报警联 关网络安;
全
It u in De e to etC o r tln Tc n q e n r so c it nAl r re i a hei u s
o AJG N a u n-ZHAO uI hZo y a ,Jn
( s. of. c. Tc. og giUnv oo ta dT c m.l oCg ig4 0 6)I to mp S i& e h,n C Ch n q n .i fs n e eo h n ,qn 00 5 P s
[ sr
c n ] st nee tn tcn gl er olm e ytt haoh rT aet eolr ntt n lg nczsl r ela efdo btA at a My ri i cti h oo is em pen a ect e h .lr r ai c h o yaoya e e snr tm unod o e c ra O e o eatg er
d fe e e tu r dc s Ot a sa l s rae r agl e u e r ,a t c emoe e s l i cr e a cr igy hr o dno ses i nrs ct y pro u tS, h t f e a e l te y r cd edla t k sa f i t ra r r a iy d s n edc o dn ,le wtkol a y tm ,
a m
ii t t r s l lg e es .d ri,b sc om es dat c n o e g af eo e a i a e n sdu
s .dIo a tc r ea i l t odn s r os i a ey r l aeHe e na i d ln eh o islo l rc r tlo ic s e ar tr m r p no l t on agt rhs a me i r a a ey ;n e o e me te d n ios lr o e ai n t co oi s a a es rd c e n l dz a dd vl p n e cne fa e r clt oe hnl g e lo p ei t . dt t r
[ ywo
dlt io s ecina e o aien n t cryr K er ns irnt t d; lcrr lt ;ewos uk t ue o to i
e入
侵测检技 分为异常 术测和误用检测检两 类。误用与检 测 相,异比常测检发现新 可的攻 击 ,误报率很高 但。实事上, 任 一种 何一 的技术 单或统系不可都解能所有决的 全安 题问
于 ,是警报关技联应术 运生而。报关联警术通技过 种多不同的
补性
。
报收警集预处和 多为空理上间的 横融合操向作, 般在一
接连多 个构异I S独立D的关 系联统中进 。 收集模行块集来 收不自同I D产S的报警 生其中,预处理模
安全
系统 互协相,对作产 各的品报进行综警分析 合,而从得
到更准确 、更 实、更用理易解 的深次层报 告 。 本介文了报警绍 联 关的 本基模型 和要技主 ,术分析了 主
块使
用准的 标IME D F 式格”对来 些报这格式警行规进 。范 规
范 的报后主警要以有字下段 :Sol e sr n,ADtcca rls , klstSc,P a
eD Pt ,SPort D et tBe Ti en, nd Eme。 s lc , rsor P, ig m T i
要关的方联法 探讨了,报 关警技联术存在 的问 题 。
1 报
冗余 警并归 . 2
警报 归并块 模负责存在重将复 关系并发关系和报警的重 新 归 成并条一 新报警 的假。 设 报警 有1AA : 和 若只有2B gn 和 i d iE eime n TmeT同,不并时且之间差小于
报1警关联型 模报
关联是指警识 别和集不 收 I DS产同 的生警 ,报规为 范统~ 格 式并,过通并和关联归等式方来识 报别警之间 在 存的 联 ,重系建击攻景场,发 现深层次报 警,生综产合报 响应 警 技术的。 基本其模型图如 1所示 。
设 的定值 闽,则满重 复足关系
若;只 S有 ol ensr D ,Bg n eiTie和 Em di e
不 ,并同时 且T n m之问差小设于 的阈定值, 满足则并关发系。
重对复并或发警 ,一种方式报简是单地直接它们 归并将 为 A(e
sr SE c Ds P Se o tsot nB g ni e S,nlorl et r,PrD etr iM ( e m l D,i , l ,P
TB
n g i,2x Ed i lE id )2 eiTem M) a(n Te, nm Tme。)种 方这式 归使并之
后
录记 攻击持的续 时间长 。最另一种方是根式报据警属性的
关 联 系 统
报警
冗归余并
相 性似,通过 有效 的算 法来实现 报警 归并的,I MSD A引
了模糊隶入 函属来计算属数性相度似 ,通对这 过属些权重 的 性
ItEM规范 警 报 D F
报 警 集收 和预 处 理
控制
,以可现实同报警、 似相警报 和不 I 同相DS报警 归并的 。 1 警 报关联 .3 警报关联处理的都是 过经归后 的并超警 。入侵报者 为 了基金项
:目 自庆 科基 学金资项助且 l(1;重 然 9l )重 庆市教科 学委术 研技究 目项 (00 ) 0 59;重庆 自科学基然资助金点项重且(0 5 A 30 4 0B220 )
啦
f 啦 f ’ 1原 于 ’ 矗始
… ・
j 瞢
图
1 报警联模关型
1 警收报和预集处理 . 1
传统的 I SD限于局单一主的机或网架络,对构异构系统
作筒者 介:姜兆 ( 8 一元) 男 1, l ,9硕士 , 研方主 :向 算机计网 安全络 ;
赵军 博,士、 教 副
授及
规大模络的网测监明显不 足。 多用异个 I 采构D S警 系报 统, 使不 同来 源报的信息相 警补互,充挥发 各 特点 ,增自 强了
互稿牧 日:20 - — 3 0期 61 90
Ema
za:a y g im cri- i hou n @a ga n .lj nlo
一
3 1 ~
7
普维资讯h tt:p//ww.wcqip.vocm
达到
入 目的侵通常,执行会一系列 攻的 击,报关联通警分过 析各种 初报警,得 始到高层次的攻 报击 。告关方联法报是警 联的核关,心直接决 系定统 的性 。能
一
次击攻所成组的 个各骤最有可能步在一时个窗间 内以一
口个
较 的概高 率生 。Q 发J 引入n了 问序列分析时 预测的方 li 等 法, 核 心的 关 算 法联 采用 了 种一时 序 因果 分 析 方 法 G T a grcug at ts,通 计算过报事警之问的件 GC C (r e nasy le i t I)
2
报警关 联法方
联方法一关分般两为类 需: 先验 要识 的知关 联方和法 不
要先需验 知
识的关联 法 方。
指
数,实报警关联现。 种这计 统因果析分方还法能不进完
整 行攻的过程的关联 击但它可 以作,系统的一部分来发现为阶 段性 的攻击序列 或用提于超级报供的特征警。
21需要 验 知识先 的联方关法 . 先得最到注的关是就需 要验 知先识的关联 方 。法根知 据识
的不类同型以进可一步 细分 为于 基击场攻景知 识的关联 方 法 和基单于攻击前因个后果的关、 联方法 j 。( )1基于攻击 场 景识知 的联关方法 击攻景是指场有具同特征的共事集合件。一完次 整攻的
23
性分能析 由于.现主在流的 分方析法基是攻于前 击因和果后信的 关联 息法及方于基计统 的关联方法,对 两种这法方用实验数
集 据LD O1 L S.0进 测行,试其结 如果 2图示所 。
过程击通经历常 个步5骤 J 息收 集, 洞探 漏测权限, 提 。:信升 , 实破坏施,攻击 痕清迹除。因,此可 对属一同个攻击 场
景的报警进 行联关。文【献】8根据攻 者采击 的取攻方法定击义
了7种攻击 景 ,优场点方法是单、简易实现容开、销 小缺。
点是能不现新 的发击场景攻。 基于场景 配 匹的方法护维起来代价 比高 ,较且而不 自能
适应动环 的改变境 扩,展也性不 好,不发现新 的能攻击 , 这影
响 到它的 壮性健
() 。 攻 于击 前因和 后 果 的 联关方 法 2
基
原始口检 辜 测
原 始困 报误率
圈
于基前 因后 检测果 率■ 基于 因前果 误报 后
堇率
坌
皇曼 旦! 董 坌皇塑堑 竺 堡 堑
任何一
个 攻击都 具 有 因和后果前前。 因就是击成功所攻
图
2 关 联法方验结果实比 较
必须具有 的前提条 ,后件就果是 击成功实攻 施所造成后 的 结果
。一在个有个多击攻作动组 成入的 侵中,一前个攻击 后 的果 是下就一攻个 的击前因。基于 这思 一想,首先 定每义个一 单独攻 的击 前因后、 ,果然就可 后将以具 因果有关系 的击 攻关联在 起一 重, 整现 攻个 过程击。
通对 比,过现发联报关警可明以显减少地误报 ,从原 率始 的9. %分别少到减1. 和 5% 6不需要先 验识知关的 3 6 2 6 . %,2
联方虽法减轻了然理员管工作 的但,误是率报比却于先验基
知 识 的关联方高法 。时发同经现过联操作后检关测有少率许 下 ,降如何降在误低率报的同 时保,或提持高检测其是一 率个较 解难决的问题 。对 他其性属 的较比果如结表 所1示 。
表1 性蕾 比
较
H N9 CP 是一种典t型的 基于击攻前因 后果和
的关联方。 1法 该模 型
可以通 引过入n ra 状来态吸误收警 ,om l为生成 的 报
提告 供了置 水平 ,信可以用相应于决。但是存策 下在列缺 点: 同 种 学各习算法一样 容易攻被击者骗 ,欺记的训练标数集据
很难获 得。
由于指出单个攻击的只 前因果 ,不后必事先道知个整攻 击 程过 因此不必手工产生,大的量关规则联, 还可以别和识 报告不 同攻 组合形成 击的攻击过程新。但 不能处理新是击攻 不知道其前 因、(后) 果只适用于,击步骤 攻关联的 另外 ,。 由 于联时搜索关空间较大 ,对计 机算源资消大 ,耗不合在
线操适作 。
( )1对 验知先识 要求的知和识 取 获的法:不需要先验知方识 关 联的法方维护 起 来较比便方,但是 性能不如需 要验先知 识的法性能 方高 ,如果能 自获得知动识 ,实性用会更大 。 () 新场 景2的发和现在关线联: 基先于知验的识关联法方比要不 需要 验知先 的关识联法方一些 。弱从实但 时处理 角度基于 先验,知 识 的关方法具有优势 联 。( 3扩展)性和多源报警关联 : 然以虽关联方上法, 多在源警报 关 联 上可都以分析 种多型产类生的报 ,增警强了安 全产品互的性补,
22不 要先验需 知 的关识方法联 .()
于 击攻 属 性相 似 性的关 联 法方 基1
研发究,属于 现同一攻个 的报击警常有一含些相 似的 属 。川性 V 。ell等提 了基出于概相率 似的入侵度警关报 联。 。 d saI
系统,基攻 于属性击似性相 的关联方 通法过 以下个几骤步 报对警进行 关联 :( 1)算报 计不警属性之同间的相 度 ;(似 )当新 2报警到来的 时, 已存在 与所的有 警线报 的程相应属性值进行 比 较计算它们之,间的 相度 ;() 3似将报与报警线程警似相 度
但
是在扩展 上都存在性一 的定缺 。陷具有 好的良展扩性关联方的法 ,
在杂 复的环境中 会 发挥更出色 作的 用。
解 从总体的报决 关警联来 ,看没有个 方案一 可被以认为 是 “ 最 好” ,的多更的表是现出 互了补 。性最 近研究的倾向 于结合 各不种的同法方解决复杂的来网络全安 问 。题
最大并超、过 定阈值的设报警融合报到警线程中。若 超过不
设阈值定,则 生一成新个的警线报程 。实验结果 表明, 通过关联分 析,可减该 1 少 /-/ 32报 的2警 数据 缺,点分析是 比较 的报警须具有必共 有的征特 也,不 能 现发报 间的因警果关 系 。 )( 基于统2 因计果分的关析联方法 统方法主计 基于要下如事 实
” _j :在多攻步所产 生的报击 警 属性间具之有统的计 相似性, 攻击各步 之间 在 存果因关 系。
一
3 结
本论文绍介 入了侵测报检处理系统模 警型 ,各对个 模的块 基本 术进技 了分行析 ,类讨分 了目前论关方法的联优点 缺 ,
指了当出存前 在的多 问许题, 实从验结来果 看,关方法联还 存 在很 多题问需要决解, 联方法关实时处的能理、力扩 性展 和健性壮等方都有待提高面 。
41 7
一
维普讯资h tt://pwww.qvci.pom
c
参考文 献1
ETF nr so nI I tu iDe to e Exh n e tincc a g Fo ma o W n kr p.T G t rri gu ohe
N
eo k w a dDt i be ty m e iyuS mp im. U 4- 2. t r n s r ut d Sse cS rt osuyZ O 0i 8D ae W e pi A e agi n d aC oea in o n r so- ee tn b,Hr s .Agr gt o rlt I f t nid t ic n o u o
I
t sn ee t nnr i t D i eMsg xhn eo a B OL[. Irt eouco s aeE c a g r Ft /]n nt m E e
D r (f 40 0— . 8 :xt. v r a . edgat efi giwe- mat2 0— 70 ) h /tm1 oe p s gr r/f t d -i. p/ c o— - df
.x t t m 11 x ..2
Alr [
] r o. o  ̄r en R o n cd ca si n rs n e sC / o t P/cf Cn c n ee eAt ve n nt i I u
oe Det . : 05l 3 t c i2 0l 8一 0 . on
Y9 I rnv Qu lyo e e atPd ie tIt g dr e t u.Dpo imt g ia f r nr dc ire ’N x h t Al s n u snGo
l t id nHo oe P — t B OL .(t 6O0 ) t : ha i wh d Ce rd elr N[ / e 2 ] 0.5 t H iE p
sra c m ir sf .mo / dgy /ee h c. o to cr - on . u
M2u C. I uti ne e tD Anl fe i c t n nrso c i te t f ari B ea n o V i o s d oM u tl v l li e
eF z
yo
r h nie l avo [ / crf 2 0 tr a I a uoz C m e e sp E a u nC]tP o o .0 5n ent n vl i/ iCo
ne e c on f rn e C uo ian lne l e c a d m t tp ao tlIi n en S uet .Be l: g c r y rii S ing Vre g 2 l 0 9 1 p e - r ,r0 5: - n a 6. 3 rK gl u eCT.oh teDe a ite e t cn r l zd E nv Co r t lno I ut i era i f rnr so no
1 a d Ss inr P a ios c eA o ea o[ / c e igr 0 Vel A, kn Ke .rb b l lrt C rl inC P ]oe n s di it t/
o e 4 I htr ai a m psuo Re ent v n e In t iu fnt tn teh on n Syl io m n c d Aac s i n r s o
De e o t o.2 5 . t8cni2 : o4 6
.
eD e n t / rc oC te 4 I t hai n Cl eenc o t i [ Po]. f h t c o/ ne ta nr o o fnr n
e Ir fai e u n t y lg t. 0 .n o t mon c S y r a Cdrp o o 2 y10 4i C p n u p e sF A lr r e ian n o e a ein irn et oCl ot i Caop rt I v o tD ee t s uct io
n 1ijA l-. vl e ls r grItf snD t nSt on rS Mtu l el CAut i i r e i e sre 1 ai er t n eonu o c
oDt [/ rc fC neec nuz I f rai n r cisgaaC o .o] ofn e ro F z y n o P /m t oPe sn o
c Sey 2 -06 2 -8 .oit. 05 0 :6 2
1 o a F n P rsP A . o Mg2 a V sdA M.iso - p m - s dcAp r a h e l A s i n i a tb a e p co
a w Fr [] Po fI.E y o im n S rcy a d P iay mero kC /rc o E ES mp u so e ut
n c . r i /
v o22 o.
t OS I ACl Cm rlt n C r/ c ieg o t et No EF ar oaie[ ] o ed n s f h 5 ho P/
It r ian l y o s ou c n v n en I t sn oD e et n n et mp ai m nRe e Atda c s i n r i tc i n o S ou2 0 : 5 1 4 2 09. 1 .
N5iPg Ci An lz n ntieI t sAnl r i rCl tn C n ’ u Yay igI e sn ri e va o eti a[ ] n v u os o
P/o e n sd/ cr e gi o tfe 5 h t Ira in lSy o i m o Re e t h t n e t a nomp su n cn d Aa cs i n r s o t c n iu c Z, vn n I t i e Den e o .t hrS iwe l n2 0 uit ra d . 02 z. 6 u Y.DFn k i r ce D . NA e or me r o Al f r a ie ad v l F a owk fre t C l t ono n
1
nx . e Q i3 e
LaiSi C lai u n ls f IOSC A r ltt t a a sl yA ay o NiFE e s c t st
DaaC /r e ic fg h t Itr ani ly omi nR c nt[ ]o ed n s o 6eh ent a S m ps P/t n o u o e etAd
ac i snr so t ci t,s ghu P. 30 v.n e nI tu in De e ton iPb rt , 2A 0
nUes n [ d]r cfne ainl o f rn e d nt rigC / o.o Ir t a n t a / n o CP ene co Ap ld p i e C
pro rp y a dN ew o r e t u 0. 4 5: -6 y t g ah n t k Sc r y2 04 2 4 6 . i 7iNg P ii g tA c nc rs oTr e ’ e n trn o p m e n Bu l n t k Se ad a i h o tIga i fCol - o
1
x, n e A ct nlR c gi on r dicUs nCgal s iQ LeW. t k a Pe o n tanPeit
d i au 4 ia on
Nwoe [ /kr c o t e t 2A u l C mp nt rSc r ytrsC ] .o fh 0 hP/ n a o e ue t u
Aipl ai n p i t sCon e e .c0 —4 3 0 7 -c of n er 20 12 : 7 39.
me rtA te Crl t Mehnd [ /r c f te h n u lany lr oaie tos o .o / h1 t o C] P l A an
(上 第接10 页)7 5张
立和, 杨先,义 忻心等,.钮 件软印综水 述…. 件软学报 0 3, 2 0 ,
l ( )2 8 7 242: 6 — 7 . 6 a P esg ,Kr sns my l b r i hJa wa ,KSw oM e,a .E xe e c ihwn t1 pr n e i Cotu e n eimp t r S cec ,Un vri o A rz iesa y t ifo nTe h c, e R:pTR 0 — , 7 04 0.2 04 1 uC a DH, ul y 3r n r eN JC n iie , n e Md .S c rnO a aT r uh e g uJv ih o g
S
rf t ak n [ m r/ oc S 0 o e tWae igC]ro . AfC C 0A, eN ok CM wa rP w/ Y :Ar
P s r . 00:0 —6 e 2 0 s 8 3l3 .
S f
e rtowa War knr [/r c Pf P ’3 mti g C]ao . o P J.N eok C MeP / 0 w Y r:
PrAs . 0 :l 51 . e 2s0 3 4. 84
7
Vn ea a V zr n’ h i . ha Te tr p o co e tksR , aii nSaS A Grp o eiAp r h t ana V ch
1
u Gok an An l fst akn e iuhfsra h 4Q P to jk.M yioa e igT crn q e p s W ar m oGr
Cl r g P ol[ m rc o ] CA D’8N w Y :rM r s ,oo n rbe C / .o C ifP / I 9 . e ok AC Pe s
9 1 0.1 9 . 98:9 1 3
Sf eWreaaknm [Po] .I f10N w okAC P e s wo ar t rgC/ ri oc e Y :r M sr. /t
H’ .
2ol l 71 8 :5 o. 6.
8 oCl r be gl CKo o r。 Svb o u Ca, t rE ,a t ro.crre t g G r ps f re 1 erE -o ci a h o n
r1
P to jMk .dn intrs iGp roo n o uni 5QGuok n a H iiSg a e n a hCglr g lS stu io 【
]cro 9 . w Y : CMr r s , 99 38 3 7 / C .o H’f9Ne o k PA I/ P se1 9: 4 6-
. Sf erW ae akmn[ ] cr o h h Wo9k p o h a ohtw at r igr C/ o . t ef2 t P / r s o n G rp sT
h oe i ne s i p me c e ,clEpe , eN e rh asd e r to Ccpt n o Curt Snie c s e Tht te l n. 2o
o 3
. Zh W-1T o osn . O nh P Qgr h i S fr 6e uhm b orC te Aolt m no i wat
Wemaa n [k r c] Io5 2 0 4: - . tr 4irg C/ o . S f’. 0 5 6 667 P/ I 01
u o - uo n Ab tAa t n ep r ttn b s dF rm e Co tP so C s t 7.R sc rt ea i a -e a owr r rI ofk o
9 Co eg ll b C.r Tob rmnoh so CT. onw e ds n GD ynmi rGp ・a e a ac bh s
dS
fa o et r aWeakmn [] D p r on mpC r tc ce ,w rt ir g . R etat f oe Suin em
Uen vri Arz n ,f c pT 0R- . 0 4 ei t so io a eThR e :4 80 02 y
S f. r eaWmeakn ] r[. o O L .0eN Yr : CA Mt wo tar i C /g o P /c fPrP ' 4 owk Pr
s 0,4 : 7- 8 e s 2 013 15
1. 0C ol e C,Hu tg Ak re , r l bn wo r C a tE,e r 1ta G.r p e rctS fawe ah To e i o rt h 1 l g Ce,a t CrE , a b e
Co l1 r 8 b re Der y ,St . ynDm i t— ae o,w ea aac aPh bs d rS
Wa r a kI :lm eti nt mrs mepn t, An sl ,a dA t sc/ r f e ao cay i n kt[ / .oo a sC] PI
4 T ’r no Ca aa .0 4 H .o o o.t , n 2d 0
W
aemkna []r c oL ’ 4Ne Y r t : ir C / og. f PD . Iw okA MC rs, 0 4r P/ 0Pse 0 2 : l
. 1.07 1 8
1
MyeG Colge1 ls lr C.So ter fbaw W a eakn ru h rtr i gT go Re i rtm hg s
1e - a i R. r m y i D . 9 1Eh Kl Kl eo stA ydHn :n o ai Hni nnP o r maI f rt di i g r ag mo
Ala niI nalin l t :mp ceo o em t t,nAl s a d,o a in tAc C s/rc f ys t k [ ] o.o a /
I P S0 Ble S nre- ra , :0 7- 9. I CC3. ’rin p g: rVel 2 0g3 2 2 4 3 1i a o T S h o R,Co le gC S fwae .Wae ak nnt e eFu ny2 l r ob r tr tri g ih r qe c
m
Bn r sC] r c o IS0 , lg , pi .0 4 iia [/ o. f CC ’Maa S aa 2n0 . eP / I 24 a r , o so n.Ch den o reWatmea k[] c r0 N gaJ Tmbr T r aig S h o wa f trs /C o. r P/
o0. o o t . d n.0 4 .If ’ 4 HT n orCa aa 02
Do i
: mp en tnAn ls , d A cts . p r n man f lIe tm ,i ia a tk [ eDa tt a o y s an R] m eo
一
1 5
7
—