考慮置信度的告警因果關(guān)聯(lián)的研究.pdf

1、目前入侵檢測系統(tǒng)主要采用誤用檢測和異常檢測兩種方法，都不可避免地會產(chǎn)生漏報和誤報，數(shù)量龐大的告警使得管理員很難從中真正了解當(dāng)前系統(tǒng)的安全狀況。研究者們在不斷改進(jìn)檢測算法、完善攻擊模式庫的同時，已經(jīng)開始利用告警之間的關(guān)聯(lián)來提高入侵檢測的性能。美國北卡羅萊納州大學(xué)的Peng Ning及其工作小組提出的告警因果關(guān)聯(lián)方法，利用入侵行為所需的攻擊前提和造成的攻擊結(jié)果，將不同的告警按因果關(guān)系關(guān)聯(lián)起來，從而重構(gòu)攻擊者的攻擊場景。 然而，此前的

2、研究很少考慮到入侵檢測系統(tǒng)告警關(guān)聯(lián)的置信度問題，往往認(rèn)為只要關(guān)聯(lián)引擎將兩個告警相關(guān)聯(lián)，那么它們之間的關(guān)聯(lián)關(guān)系就必然真實存在。但是由于關(guān)聯(lián)算法本身存在的種種局限，事實上存在著一定的誤關(guān)聯(lián)情況，而且不同的關(guān)聯(lián)，它們的可信度實際上也并不相同。 為了解決這個問題，本文結(jié)合當(dāng)今入侵檢測系統(tǒng)告警關(guān)聯(lián)研究的現(xiàn)狀，在主要研究Peng Ning提出的基于攻擊前提和攻擊結(jié)果的告警因果關(guān)聯(lián)方法的基礎(chǔ)上，把告警關(guān)聯(lián)的置信度作為一個獨立的關(guān)聯(lián)屬性引入，做到

3、不僅將告警進(jìn)行關(guān)聯(lián)，并對此關(guān)聯(lián)的可信度進(jìn)行定義，在告警關(guān)聯(lián)方面提出了一些自己的見解，主要工作有： （1）在考慮告警關(guān)聯(lián)置信度的基礎(chǔ)上，設(shè)計了一種較為詳細(xì)的因果關(guān)聯(lián)算法，把置信度作為告警關(guān)聯(lián)的一個獨立屬性加載到整個算法中，和傳統(tǒng)算法中完全依賴專家知識、不考慮關(guān)聯(lián)的可信度的做法不同，此算法根據(jù)告警原有屬性，綜合運(yùn)用多層神經(jīng)網(wǎng)絡(luò)和支持向量機(jī)的方法，通過數(shù)據(jù)挖掘和數(shù)據(jù)訓(xùn)練，不斷更新告警關(guān)聯(lián)的置信度。此算法中的告警關(guān)聯(lián)置信度可作為一個重要

4、的因素，直接影響并優(yōu)化告警關(guān)聯(lián)的結(jié)果。 （2）在算法的基礎(chǔ)上，設(shè)計了一個綜合的告警因果關(guān)聯(lián)置信度模型，此模型以告警因果關(guān)聯(lián)模型為基礎(chǔ)，主要分成四個模塊：告警預(yù)處理、關(guān)聯(lián)引擎（包括因果關(guān)聯(lián)和置信度計算）、數(shù)據(jù)庫管理、可視化顯示等子模塊組成。該模型能很好地將置信度引入到告警因果關(guān)聯(lián)方法之中。 （3）利用 DARPA 標(biāo)準(zhǔn)數(shù)據(jù)集對告警因果關(guān)聯(lián)置信度模型進(jìn)行了簡單的仿真實現(xiàn)，初步的實驗結(jié)果表明該模型能有效排除誤報和發(fā)現(xiàn)漏報，同時