资料下载
×
基于入侵行为模式的告警关联
消耗积分:2 |
格式:rar |
大小:221 |
2009-08-13
从未拥有
分享资料个
本文提出了一种基于入侵行为模式的告警关联方式。入侵行为模式是定义在时间
基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。
根据检测引擎的实现技术,入侵检测系统(IDS)可分为 “基于误用”和“基于异常”
两类。由于每类IDS 都有其自身无法克服的缺陷,因此目前倾向于在网络环境下安装多个IDS,这些IDS 可能采用基于误用的也可能采用基于异常的检测方式。但大多数IDS 只是对简单攻击或异常进行检测,它们除了产生大量的告警以外并没有做任何更深入的工作。准确的告警和误警常常混合在一起。在复杂攻击的情况下告警之间可能存在某种联系,而这些IDS 却不能发现这些攻击之间的逻辑关系,也不能发现隐藏在这些告警背后的攻击策略,它们只是产生相对独立的告警。为解决这个问题,通常需要对各IDS 的告警进行聚类和关联。
与入侵检测一样,告警关联的方法也分两类:基于异常的告警关联与基于误用。前者的
典型代表是基于相似概率的告警关联[1],此种方法是基于告警之间的相似度进行告警关联,虽然该方法在关联某些告警信息时很有效,但相似度的衡量及取值比较困难,不能完全揭示相关告警之间的关系。后一种方法的代表是基于攻击的前提和结果[2],这种方法是从攻击的角度分析攻击的前提条件及结果,如果一个早期攻击的结果满足一个较晚攻击的前提条件,就可以关联这些攻击的告警信息。这种方法有一定的灵活性,对发现隐藏在告警序列背后的攻击策略非常有效,但面临定义攻击前提和结果的难题,且难于把握告警之间的时间限制,此外对虚警的处理很不理想。本文介绍了我们在分布式协同入侵检测系统(DACIDS)[3]中使用的另一种基于误用的告警关联方法,该方法定义了一种基于时间的入侵行为模式[4],通过对模式的识别进行告警关联。这种方法有效解决了告警之间的时间限制的定义,而且在对大量告警进行关联的同时,对减少告警数量以及对虚警的处理方面尤为有效。
本文第1 节对入侵行为模式给出定义,第2 节详细描述了对入侵行为模式的匹配算法,
第3 节概述了DACIDS 中使用的告警信息关联模型,最后给出了后续工作内容并加以小结。
基础上的一组谓词公式,其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时,对虚警的处理尤为有效。
根据检测引擎的实现技术,入侵检测系统(IDS)可分为 “基于误用”和“基于异常”
两类。由于每类IDS 都有其自身无法克服的缺陷,因此目前倾向于在网络环境下安装多个IDS,这些IDS 可能采用基于误用的也可能采用基于异常的检测方式。但大多数IDS 只是对简单攻击或异常进行检测,它们除了产生大量的告警以外并没有做任何更深入的工作。准确的告警和误警常常混合在一起。在复杂攻击的情况下告警之间可能存在某种联系,而这些IDS 却不能发现这些攻击之间的逻辑关系,也不能发现隐藏在这些告警背后的攻击策略,它们只是产生相对独立的告警。为解决这个问题,通常需要对各IDS 的告警进行聚类和关联。
与入侵检测一样,告警关联的方法也分两类:基于异常的告警关联与基于误用。前者的
典型代表是基于相似概率的告警关联[1],此种方法是基于告警之间的相似度进行告警关联,虽然该方法在关联某些告警信息时很有效,但相似度的衡量及取值比较困难,不能完全揭示相关告警之间的关系。后一种方法的代表是基于攻击的前提和结果[2],这种方法是从攻击的角度分析攻击的前提条件及结果,如果一个早期攻击的结果满足一个较晚攻击的前提条件,就可以关联这些攻击的告警信息。这种方法有一定的灵活性,对发现隐藏在告警序列背后的攻击策略非常有效,但面临定义攻击前提和结果的难题,且难于把握告警之间的时间限制,此外对虚警的处理很不理想。本文介绍了我们在分布式协同入侵检测系统(DACIDS)[3]中使用的另一种基于误用的告警关联方法,该方法定义了一种基于时间的入侵行为模式[4],通过对模式的识别进行告警关联。这种方法有效解决了告警之间的时间限制的定义,而且在对大量告警进行关联的同时,对减少告警数量以及对虚警的处理方面尤为有效。
本文第1 节对入侵行为模式给出定义,第2 节详细描述了对入侵行为模式的匹配算法,
第3 节概述了DACIDS 中使用的告警信息关联模型,最后给出了后续工作内容并加以小结。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
评论(0)
发评论
- 相关下载
- 相关文章
