● 摘要
随着近年来网络的普及,网络攻击和非法访问飞速增长,网络安全的形势日益严峻。应运而生的入侵检测被认为是计算机和网络的第二道防线,对降低网络入侵的风险,防范未经授权访问系统的资源和数据有重要的意义。遗憾的是,入侵检测系统在提高安全系数的同时也产生了海量的初级告警数据(其中绝大部分是假告警),不便于用户理解告警的含义并采取恰当的措施。因此,通过应用告警相关方法开发入侵检测系统的协作模块,通过分析关联告警产生清晰的攻击过程描述,通过生成综合告警来减少假告警的数量提高检测效率非常必要。本文首先对入侵检测技术和告警相关技术进行基本介绍,接着系统的阐述了目前国内外的研究现状。在分析了当前告警相关方法的利弊后,作者提出一种解决方案,通过构建贝叶斯网络模型,用概率化方法相关告警,对检测器产生的原始告警进行预处理。然后通过因果相关方法对前面生成的告警再次相关,并输出能清晰反映攻击过程的相关告警图。本文着重介绍了贝叶斯网络技术和因果相关方法的设计与实现。该系统由两部分组成:告警之间的横向相关。基于贝叶斯网络的告警预处理,将告警之间属性的相似特征作为关联告警的重要参数,新告警通过与中间告警的特征匹配来决定属于哪一告警类别,这样,综合特征上基本相似的初级告警将合并成数量较原来大幅度减少的高级告警;告警之间的纵向相关。告警通常都不是孤立的,从逻辑上考虑,这些告警之间往往有着前因后果的联系,即前面进行的攻击活动为后面的入侵作必要的准备,因此,我们定义超级告警来表示这一逻辑关系,通过知识库中超级告警类型匹配将其关联在一起。最后本文结合簇化方法和因果方法假设和推理可能被 IDS 遗漏的告警,改进超级告警相关图。