资料下载
×
入侵检测报警聚合与关联系统设计与实现
消耗积分:3 |
格式:rar |
大小:161 |
2009-08-26
刘杰
分享资料个
入侵检测系统作为一种网络主动防御手段,它可以识别入侵者、识别入侵行为、检测和
监视已经成功的入侵,并进行入侵响应。但是在实际网络环境中,对已部署的入侵检测系统产生的报警信息进行分析时发现如下问题:①重复报警,IDS有时会对同一个攻击目标在几分钟之内甚至几十秒内产生几十个报警,大量重复事件使报警信息没有任何可读性;②误报,IDS会产生很多这样的误报信息,如在Linux操作系统网络中, 如果遭受“红色代码”病毒攻击并不会对系统产生影响,但IDS 会将此攻击记录下来,并产生误报;③孤立报警,攻击者进行攻击时, 往往是通过一系列的攻击行为才能达到最终目的,IDS只对每一次攻击产生报警, 缺乏对攻击序列关联分析。
由于大量的重复报警和误报的存在,大大降低了真实报警的可见性,使得管理员难以从
纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警, 且由于检测引擎缺乏对序列攻击的分析难以重组整个攻击场景,在遭受重大序列攻击时使我们很难对攻击者取证和防范再次类似攻击的能力,更难以及时更新保护区的系统的漏洞。
因此为了解决上述问题,需要对原始报警信息进行二次分析与处理,即根据原始报警之
间的属性关系对原始报警进行聚合和关联处理。本文设计并实现了一个高效的报警信息聚合与关联系统, 用于报警信息的融合。实验表明, 该系统有效减少了报警数量, 降低了误报率,达到了很好的实际应用效果。
监视已经成功的入侵,并进行入侵响应。但是在实际网络环境中,对已部署的入侵检测系统产生的报警信息进行分析时发现如下问题:①重复报警,IDS有时会对同一个攻击目标在几分钟之内甚至几十秒内产生几十个报警,大量重复事件使报警信息没有任何可读性;②误报,IDS会产生很多这样的误报信息,如在Linux操作系统网络中, 如果遭受“红色代码”病毒攻击并不会对系统产生影响,但IDS 会将此攻击记录下来,并产生误报;③孤立报警,攻击者进行攻击时, 往往是通过一系列的攻击行为才能达到最终目的,IDS只对每一次攻击产生报警, 缺乏对攻击序列关联分析。
由于大量的重复报警和误报的存在,大大降低了真实报警的可见性,使得管理员难以从
纷繁芜杂的事件中准确识别出真正的攻击和威胁的报警, 且由于检测引擎缺乏对序列攻击的分析难以重组整个攻击场景,在遭受重大序列攻击时使我们很难对攻击者取证和防范再次类似攻击的能力,更难以及时更新保护区的系统的漏洞。
因此为了解决上述问题,需要对原始报警信息进行二次分析与处理,即根据原始报警之
间的属性关系对原始报警进行聚合和关联处理。本文设计并实现了一个高效的报警信息聚合与关联系统, 用于报警信息的融合。实验表明, 该系统有效减少了报警数量, 降低了误报率,达到了很好的实际应用效果。
声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
评论(0)
发评论
- 相关下载
- 相关文章
