0 引言

    入侵檢測作為一種重要的網(wǎng)絡(luò)安全防護技術(shù)，由ANDERSON J P^[1]在1980年首次提出，經(jīng)過幾十年的發(fā)展，在入侵檢測系統(tǒng)模型構(gòu)建^[2]、檢測數(shù)據(jù)集獲取^[3]、檢測方法創(chuàng)新^[4-6]等方面取得了豐碩的成果，已廣泛應(yīng)用于物聯(lián)網(wǎng)^[7]和智慧城市^[8]等多種應(yīng)用場景。然而隨著網(wǎng)絡(luò)承載帶寬流量日益增多，人工分析海量告警日志信息已難以滿足日常需求，開發(fā)基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)逐漸成為主流^[9]。入侵檢測系統(tǒng)的基本原理就是將獲取的數(shù)據(jù)經(jīng)過處理后，與之前設(shè)好的規(guī)則進行匹配，從而判斷是否為攻擊或入侵^[10-11]。根據(jù)入侵檢測的原理，系統(tǒng)需要獲取足夠多的數(shù)據(jù)，才能更準確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網(wǎng)絡(luò)中大規(guī)模的安全數(shù)據(jù)，學(xué)者們開始研究數(shù)據(jù)挖掘技術(shù)，王洋等^[12]利用貝葉斯攻擊圖模型從大規(guī)模流量中識別異常告警，通過告警關(guān)聯(lián)識別攻擊者的意圖。李祉岐等^[13]對現(xiàn)有告警融合和關(guān)聯(lián)分析方法進行了綜合分析，提出了基于告警關(guān)聯(lián)的入侵檢測體系架構(gòu)以及應(yīng)用準則。胡浩等^[14]利用吸收Markov鏈模擬攻擊者的入侵行為，解決了用攻擊圖對攻擊路徑進行仿真時存在的狀態(tài)爆炸問題，有效提升入侵路徑識別的精度。

    Snort是美國Sourcefire公司發(fā)布的開源入侵檢測軟件，提供規(guī)范化的接口便于用戶對Snort進行擴充與改進，因此研究人員選擇在Snort基礎(chǔ)上進行研發(fā)或?qū)ζ溥M行進一步的功能擴充，以實現(xiàn)從大量日志信息中，快速、有效找到網(wǎng)絡(luò)流規(guī)律及數(shù)據(jù)信息之間的聯(lián)系，發(fā)現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)流的特征信息，提升漏告警和誤告警場景中的檢測完備性。告警關(guān)聯(lián)規(guī)則挖掘是入侵檢測的重點環(huán)節(jié)之一，HU H^[15]等認為同一攻擊過程中的各個攻擊步驟以較高的概率在一個時間窗口內(nèi)發(fā)生，因而同一攻擊過程產(chǎn)生的告警在統(tǒng)計上具有相似性，因此提出了基于統(tǒng)計時序的告警關(guān)聯(lián)方法，通過計算告警序列之間的因果關(guān)聯(lián)指數(shù)來判斷告警是否具有關(guān)聯(lián)關(guān)系。上述方法不依賴領(lǐng)域知識，但存在計算量大、參數(shù)配置復(fù)雜等不足。

    針對上述問題，本文以Snort為基礎(chǔ)，設(shè)計實現(xiàn)了能夠從大量日志信息中發(fā)現(xiàn)網(wǎng)絡(luò)中攻擊與入侵數(shù)據(jù)流間隱藏關(guān)系的入侵檢測系統(tǒng)。本文提出的方法能有效融合告警信息，識別入侵過程，幫助管理人員掌握網(wǎng)絡(luò)安全狀況，輔助指導(dǎo)風(fēng)險評估和入侵響應(yīng)等后續(xù)過程。

本文詳細內(nèi)容請下載：http://m.xxav2194.com/resource/share/2000003057

作者信息：

劉金龍1，劉  鵬1，裴  帥2，田  沖2

(1.海軍參謀部，北京100841；2.信息產(chǎn)業(yè)信息安全測評中心，北京100083)