于瀟菂,努爾布力,胡 亮,解男男

(1.吉林大學(xué) 計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院,長(zhǎng)春 130012；2.新疆大學(xué) 信息科學(xué)與工程學(xué)院,烏魯木齊 830046)

入侵檢測(cè)是信息系統(tǒng)中安全保障體系的重要組成部分,通過(guò)收集系統(tǒng)、用戶和網(wǎng)絡(luò)數(shù)據(jù)包等信息,可及時(shí)發(fā)現(xiàn)違背安全策略或危及系統(tǒng)安全的行為,在計(jì)算機(jī)應(yīng)用環(huán)境下有預(yù)警和監(jiān)督的作用[1].入侵檢測(cè)系統(tǒng)(IDS)[2]是具有入侵檢測(cè)功能的系統(tǒng).傳統(tǒng)的入侵檢測(cè)技術(shù)存在下列不足：

1) 誤報(bào)率和漏報(bào)率較高,對(duì)真實(shí)攻擊的檢測(cè)能力有限；

2) 檢測(cè)攻擊方式單一,已有的入侵檢測(cè)系統(tǒng)大多數(shù)只能檢測(cè)一個(gè)數(shù)據(jù)包是否擁有攻擊特征來(lái)判別是否存在入侵,而當(dāng)前的攻擊通常是團(tuán)隊(duì)化的多步復(fù)雜攻擊[3],傳統(tǒng)的入侵檢測(cè)系統(tǒng)對(duì)此無(wú)能為力；

3) 入侵特征知識(shí)庫(kù)需要不斷更新以適應(yīng)新的攻擊類(lèi)型,維護(hù)的代價(jià)較高.

針對(duì)這些問(wèn)題,需要建立更精確的安全事件檢測(cè)機(jī)制以提高對(duì)單個(gè)安全事件和聯(lián)合安全事件即多步入侵的有效檢測(cè).根據(jù)檢測(cè)機(jī)制的不同,可將入侵檢測(cè)分為誤用檢測(cè)和異常檢測(cè)[4]：

1) 誤用檢測(cè)是通過(guò)對(duì)當(dāng)前計(jì)算機(jī)行為和一直攻擊行為的特征進(jìn)行對(duì)比進(jìn)行入侵檢測(cè),檢測(cè)率相對(duì)較高,但若遇到未知的新入侵行為時(shí)無(wú)法檢測(cè);

2) 異常檢測(cè)是通過(guò)建立正常用戶和系統(tǒng)行為的特征模型,假設(shè)入侵行為不同于正常行為,將所有在正常行為外的行為均視為入侵,這樣可檢測(cè)未知的攻擊和入侵.異常檢測(cè)的基本方法包括統(tǒng)計(jì)學(xué)方法、數(shù)據(jù)挖掘、模糊理論和機(jī)器學(xué)習(xí)等,其中數(shù)據(jù)挖掘方法是一種成熟可靠的方法,可有效應(yīng)用于異常檢測(cè).

在入侵檢測(cè)系統(tǒng)中檢測(cè)到的多個(gè)攻擊事件可能由同一個(gè)攻擊行為產(chǎn)生,即一個(gè)攻擊行為可能只有一個(gè)簡(jiǎn)單的攻擊動(dòng)作,也可能由一系列復(fù)雜的攻擊組成.相關(guān)的復(fù)雜攻擊產(chǎn)生的警報(bào)之間也會(huì)有一定的關(guān)聯(lián),警報(bào)之間的關(guān)系有冗余關(guān)系或因果關(guān)系.

本文通過(guò)分析已有的異常檢測(cè)和警報(bào)關(guān)聯(lián)模型,設(shè)計(jì)一種基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型.該模型能實(shí)現(xiàn)多個(gè)入侵檢測(cè)系統(tǒng)的警報(bào)信息融合,通過(guò)數(shù)據(jù)關(guān)聯(lián)對(duì)海量的無(wú)序警報(bào)信息進(jìn)行分析,發(fā)現(xiàn)其中的內(nèi)在聯(lián)系,精簡(jiǎn)攻擊事件警報(bào),并通過(guò)不斷更新場(chǎng)景知識(shí)庫(kù)發(fā)現(xiàn)融合后警報(bào)中的多步入侵行為,這種入侵檢測(cè)模型能使檢測(cè)網(wǎng)絡(luò)環(huán)境更安全.

1 入侵檢測(cè)模型

入侵檢測(cè)方法較多,目前已有一系列可供參考的框架和體系結(jié)構(gòu).如最早的入侵檢測(cè)模型IDE[5]、傳統(tǒng)網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)NADIR和DIDSGRIDS[6]、下一代網(wǎng)絡(luò)入侵檢測(cè)專家系統(tǒng)NIDES[7]、公共入侵檢測(cè)框架CIDF[8]等.近年來(lái),人們又引入了統(tǒng)計(jì)學(xué)方法、機(jī)器學(xué)習(xí)和數(shù)據(jù)挖掘等新方法解決入侵檢測(cè)問(wèn)題,形成了一系列新的入侵檢測(cè)系統(tǒng),這些方法具有以下特點(diǎn)：

1) 統(tǒng)計(jì)方法.不需要有安全和入侵方面的先驗(yàn)知識(shí),且隨系統(tǒng)的不斷運(yùn)行,對(duì)惡意活動(dòng)的檢測(cè)效果始終良好.基于統(tǒng)計(jì)方法的入侵檢測(cè)主要有基于Bayes推理的入侵檢測(cè)方法、基于Bayes聚類(lèi)的入侵檢測(cè)方法和基于Bayes網(wǎng)絡(luò)的入侵檢測(cè)方法等.

2) 機(jī)器學(xué)習(xí)方法.系統(tǒng)可隨著時(shí)間的推移,通過(guò)學(xué)習(xí)提高工作能力.統(tǒng)計(jì)方法偏重認(rèn)識(shí)的過(guò)程和產(chǎn)生的數(shù)據(jù),而機(jī)器學(xué)習(xí)更注重建設(shè)一個(gè)可不斷根據(jù)已有結(jié)果改善性能的系統(tǒng).基于系統(tǒng)調(diào)用序列分析、Bayes網(wǎng)絡(luò)、神經(jīng)網(wǎng)絡(luò)、Markov模型等機(jī)器學(xué)習(xí)方法都在入侵檢測(cè)中得到了應(yīng)用.

3) 數(shù)據(jù)挖掘方法.數(shù)據(jù)挖掘方法是一種有效識(shí)別攻擊行為的方法,可改善入侵檢測(cè)效果.典型數(shù)據(jù)挖掘入侵檢測(cè)方法有：基礎(chǔ)的入侵檢測(cè)、聚類(lèi)和入侵檢測(cè)、關(guān)聯(lián)規(guī)則發(fā)現(xiàn)等.基于規(guī)則方法的入侵檢測(cè)系統(tǒng)使用規(guī)則集表示和存儲(chǔ)使用模式.

本文將數(shù)據(jù)挖掘應(yīng)用到入侵檢測(cè)模型中.使用數(shù)據(jù)挖掘技術(shù),可較好地解決網(wǎng)絡(luò)數(shù)據(jù)的分析處理問(wèn)題,通過(guò)構(gòu)建入侵檢測(cè)知識(shí)庫(kù)發(fā)現(xiàn)攻擊的關(guān)聯(lián)或聯(lián)系,發(fā)現(xiàn)攻擊行為,并產(chǎn)生相應(yīng)的警報(bào)信息.同時(shí)可同其他方法結(jié)合,檢測(cè)警報(bào)信息中是否包含多步攻擊,從而更有針對(duì)性地處理發(fā)現(xiàn)的入侵行為,改善了入侵檢測(cè)系統(tǒng)的性能[9].通過(guò)使用數(shù)據(jù)挖掘技術(shù)對(duì)網(wǎng)絡(luò)數(shù)據(jù)、日志數(shù)據(jù)、數(shù)據(jù)倉(cāng)庫(kù)等大量數(shù)據(jù)的檢測(cè),先在這些數(shù)據(jù)中提取感興趣的、有助于入侵檢測(cè)的位置數(shù)據(jù)信息,再利用入侵檢測(cè)系統(tǒng)對(duì)這些數(shù)據(jù)進(jìn)行檢測(cè),減輕了入侵檢測(cè)系統(tǒng)的工作量,同時(shí)能發(fā)現(xiàn)隱藏更深的攻擊行為.

典型的基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)應(yīng)包含下列模塊：

1) 數(shù)據(jù)采集.主要包含主機(jī)的審計(jì)記錄和日志信息；網(wǎng)絡(luò)中實(shí)時(shí)產(chǎn)生的數(shù)據(jù)包；數(shù)據(jù)倉(cāng)庫(kù)中的數(shù)據(jù)信息.

2) 數(shù)據(jù)預(yù)處理.主要由格式轉(zhuǎn)換和數(shù)據(jù)融合兩部分組成.首先將復(fù)雜的數(shù)據(jù)包信息轉(zhuǎn)換成當(dāng)前系統(tǒng)能識(shí)別的模式,然后通過(guò)數(shù)據(jù)融合保存大量的數(shù)據(jù),提供給數(shù)據(jù)挖掘過(guò)程.

3) 數(shù)據(jù)挖掘.對(duì)經(jīng)過(guò)數(shù)據(jù)預(yù)處理的數(shù)據(jù)集合,采用關(guān)聯(lián)分析和序列分析的方法進(jìn)行挖掘,提取與入侵檢測(cè)相關(guān)的、包含用戶行為信息的關(guān)聯(lián)規(guī)則和頻繁序列模式,輸出到入侵檢測(cè)系統(tǒng)中,同時(shí)更新完善知識(shí)庫(kù)信息.

4) 入侵檢測(cè).根據(jù)知識(shí)庫(kù)中的內(nèi)容,判斷數(shù)據(jù)挖掘產(chǎn)生的特征信息是否為入侵行為,同時(shí)生成報(bào)警信息和日志.

基于數(shù)據(jù)挖掘的入侵檢測(cè)有兩層檢測(cè)機(jī)制,用數(shù)據(jù)挖掘發(fā)現(xiàn)數(shù)據(jù)信息中的異常部分,使用入侵檢測(cè)系統(tǒng)進(jìn)行判斷發(fā)現(xiàn)更隱蔽的攻擊行為.通常入侵檢測(cè)系統(tǒng)很難從海量的數(shù)據(jù)中發(fā)現(xiàn)攻擊信息,但通過(guò)使用數(shù)據(jù)挖掘技術(shù),如關(guān)聯(lián)規(guī)則,可發(fā)現(xiàn)數(shù)據(jù)信息中頻繁出現(xiàn)的屬性信息值,通過(guò)發(fā)現(xiàn)這些屬性信息值間的聯(lián)系可找出網(wǎng)絡(luò)流量信息間的聯(lián)系,從而發(fā)現(xiàn)攻擊信息的特征.對(duì)多種多步入侵攻擊[10]的檢測(cè)效果較好.

圖1 典型的警報(bào)關(guān)聯(lián)模型Fig.1 Typical alert correlation model

典型的警報(bào)關(guān)聯(lián)模型主要包含數(shù)據(jù)采集、預(yù)處理、警報(bào)關(guān)聯(lián)模塊、知識(shí)庫(kù)、數(shù)據(jù)庫(kù)和策略等模塊,如圖1所示.

系統(tǒng)處理流程如下：

1) 警報(bào)數(shù)據(jù)采集.警報(bào)數(shù)據(jù)采集器主要采集多個(gè)不同的、異構(gòu)的入侵檢測(cè)系統(tǒng)的警報(bào)信息,采集的警報(bào)信息格式也是異構(gòu)多樣的.由于警報(bào)關(guān)聯(lián)技術(shù)是對(duì)警報(bào)數(shù)據(jù)的屬性信息進(jìn)行關(guān)聯(lián),所以要先對(duì)不同格式的警報(bào)信息提取相應(yīng)的屬性信息,再轉(zhuǎn)換成統(tǒng)一的格式信息,為警報(bào)關(guān)聯(lián)模塊的實(shí)施提供數(shù)據(jù)源支持.

2) 警報(bào)數(shù)據(jù)預(yù)處理.警報(bào)數(shù)據(jù)采集器輸出統(tǒng)一格式的警報(bào)數(shù)據(jù)屬性信息后,警報(bào)數(shù)據(jù)預(yù)處理先將這些統(tǒng)一格式的輸出信息進(jìn)行融合,再將融合后的警報(bào)屬性進(jìn)行一致性、冗余性檢查,如IP、端口號(hào)、協(xié)議類(lèi)型等,不同入侵檢測(cè)系統(tǒng)的警報(bào)難免會(huì)有相同的、沖突的屬性信息,只有正確地對(duì)不同入侵檢測(cè)系統(tǒng)的警報(bào)數(shù)據(jù)預(yù)處理,才能更準(zhǔn)確地進(jìn)行警報(bào)關(guān)聯(lián),反映正確的網(wǎng)絡(luò)運(yùn)行情況.

3) 警報(bào)關(guān)聯(lián).警報(bào)關(guān)聯(lián)模塊用特定的警報(bào)關(guān)聯(lián)算法和利用關(guān)聯(lián)知識(shí)庫(kù)對(duì)預(yù)處理后的整體網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行警報(bào)關(guān)聯(lián),從中發(fā)現(xiàn)一系列關(guān)聯(lián)警報(bào)的入侵目的和意圖.警報(bào)關(guān)聯(lián)也能發(fā)現(xiàn)誤報(bào)的警報(bào)信息,如一個(gè)警報(bào)信息的很多屬性值(如IP、端口號(hào)、協(xié)議)與其他警報(bào)信息的屬性值內(nèi)在關(guān)系差別較大,就有可能是誤報(bào),但也有可能是一種新的未知的攻擊類(lèi)型,所以還要進(jìn)一步分析究竟是誤報(bào)還是另一種新的類(lèi)型.經(jīng)過(guò)警報(bào)關(guān)聯(lián)的警報(bào)數(shù)據(jù)屬性信息,要保存到數(shù)據(jù)庫(kù)并輸出到策略動(dòng)作模塊,作為它們實(shí)施操作的數(shù)據(jù)源.此外,警報(bào)關(guān)聯(lián)階段不僅是用知識(shí)庫(kù)的階段,也是不斷完善、更新知識(shí)庫(kù)的階段,使知識(shí)庫(kù)中的信息滿足當(dāng)前網(wǎng)絡(luò)環(huán)境的要求.

4) 數(shù)據(jù)存儲(chǔ)和策略的制定.將關(guān)聯(lián)后的更明確攻擊意圖的警報(bào)關(guān)聯(lián)結(jié)果存到數(shù)據(jù)庫(kù)中,便于以后分析.策略動(dòng)作的制定是通過(guò)解釋警報(bào)關(guān)聯(lián)后更高層次的警報(bào)信息而觸發(fā)的,制定出防護(hù)策略,保護(hù)網(wǎng)絡(luò)環(huán)境更安全.

2 模型設(shè)計(jì)

2.1 多步入侵特征分析

多步入侵是一種較復(fù)雜、高級(jí)的攻擊方式,主要特點(diǎn)是攻擊間隔時(shí)間長(zhǎng)、攻擊未知、采用方法較多、混雜虛假信息等,這些特點(diǎn)都加大了入侵檢測(cè)系統(tǒng)對(duì)多步攻擊檢測(cè)的難度.目前,已有的入侵檢測(cè)系統(tǒng)多采用預(yù)制的方法對(duì)多步入侵進(jìn)行檢測(cè),該方法相對(duì)局限和滯后,針對(duì)多步入侵的特點(diǎn),采用警報(bào)關(guān)聯(lián)方法對(duì)其進(jìn)行檢測(cè),能取得較好的效果.

一個(gè)特定的網(wǎng)絡(luò)攻擊過(guò)程通常分為幾個(gè)有相互聯(lián)系的步驟,每個(gè)步驟都相對(duì)獨(dú)立,能通過(guò)很多方法實(shí)現(xiàn)每個(gè)攻擊步驟的結(jié)果,所以單個(gè)攻擊步驟的檢測(cè)相對(duì)較難發(fā)現(xiàn),需要對(duì)多個(gè)攻擊步驟進(jìn)行關(guān)聯(lián),發(fā)現(xiàn)入侵攻擊.

多個(gè)攻擊步驟在時(shí)間上相對(duì)有聯(lián)系,不管使用什么方法,如要先掃描存在性,再找脆弱點(diǎn),再攻擊,它們攻擊目的的先后關(guān)系是確定的.每個(gè)單一步驟的目的、意圖也是一致的,在因果關(guān)系上相同.

多步入侵一般可分為準(zhǔn)備階段、潛伏階段、攻擊階段和善后階段,本文根據(jù)多步攻擊的特征,設(shè)計(jì)了多步入侵的警報(bào)關(guān)聯(lián)模型.多步攻擊的警報(bào)關(guān)聯(lián)與普通的單步入侵警報(bào)關(guān)聯(lián)模型基本類(lèi)似,只是在知識(shí)庫(kù)的設(shè)計(jì)中加入了多步攻擊的知識(shí)規(guī)則,將以前警報(bào)關(guān)聯(lián)后產(chǎn)生的數(shù)據(jù)作為經(jīng)驗(yàn)存儲(chǔ)到數(shù)據(jù)庫(kù)中,當(dāng)分析多步攻擊時(shí),使用數(shù)據(jù)庫(kù)的信息進(jìn)行判斷,如傳統(tǒng)方法很難檢測(cè)出時(shí)間跨度較大的多步入侵行為,而通過(guò)本文方法可根據(jù)知識(shí)規(guī)則找到數(shù)據(jù)庫(kù)之前對(duì)應(yīng)的警報(bào)關(guān)聯(lián)數(shù)據(jù),從而判斷出多步入侵行為,做出警報(bào)動(dòng)作.

2.2 模型特性

本文設(shè)計(jì)的基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型主要有以下特性：

1) 可擴(kuò)展性好,節(jié)省資源,配置性強(qiáng),能在大規(guī)模的異構(gòu)網(wǎng)絡(luò)中發(fā)揮入侵檢測(cè)的作用;

2) 可移植性好,與平臺(tái)無(wú)關(guān),有較好的適應(yīng)性;

3) 隨著網(wǎng)絡(luò)環(huán)境的變化能自動(dòng)更新知識(shí)庫(kù),可以對(duì)未知類(lèi)型的攻擊和復(fù)雜的多步入侵進(jìn)行檢測(cè),有較好的學(xué)習(xí)能力.

2.3 模型實(shí)現(xiàn)

基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型結(jié)構(gòu)主要由4部分組成：異常檢測(cè)模塊、單個(gè)IDS警報(bào)預(yù)處理模塊、異構(gòu)多IDS關(guān)聯(lián)分析模塊和警報(bào)模塊[11],模型的設(shè)計(jì)如圖2所示.

圖2 基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型Fig.2 Anomaly detection based on data mining and coordinated intrusion alert correlation model

2.3.1 異常檢測(cè)模塊 主要基于異常檢測(cè)方法,將原始數(shù)據(jù)通過(guò)特征選擇進(jìn)行預(yù)處理,對(duì)數(shù)據(jù)進(jìn)行過(guò)濾,同時(shí)應(yīng)用數(shù)據(jù)挖掘提取經(jīng)過(guò)預(yù)處理后數(shù)據(jù)中包含的規(guī)則,更新知識(shí)庫(kù),最后通過(guò)自身的知識(shí)庫(kù)判斷是否是入侵行為,同時(shí),也可以結(jié)合其他入侵檢測(cè)系統(tǒng),通過(guò)投票或評(píng)分的方式對(duì)同一個(gè)警報(bào)進(jìn)行協(xié)作式評(píng)估,但該方法對(duì)時(shí)間要求較苛刻,因此不適于大范圍應(yīng)用.

2.3.2 單個(gè)IDS警報(bào)預(yù)處理模塊 該模塊的主要功能是進(jìn)行警報(bào)的過(guò)濾和格式的統(tǒng)一,警報(bào)的過(guò)濾即誤報(bào)濾除,將警報(bào)中不是入侵行為的錯(cuò)誤警報(bào)排除,可通過(guò)如隱Markov或條件隨機(jī)場(chǎng)等方法實(shí)現(xiàn).統(tǒng)一格式的警報(bào)利于數(shù)據(jù)的處理和交互.

2.3.3 異構(gòu)多IDS關(guān)聯(lián)分析模塊 該模塊的主要功能是進(jìn)行多IDS的關(guān)聯(lián)分析,本文主要考慮多步入侵警報(bào)的關(guān)聯(lián)分析,先將經(jīng)過(guò)單個(gè)IDS過(guò)濾的警報(bào)進(jìn)行警報(bào)融合,再將融合后的警報(bào)數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析,判斷是否是多步攻擊的警報(bào),若屬于多步攻擊的警報(bào),則進(jìn)行如頻度分析和優(yōu)先級(jí)設(shè)置的處理后,與多步攻擊場(chǎng)景知識(shí)庫(kù)進(jìn)行比對(duì),判斷是否是攻擊及攻擊的類(lèi)型等信息,最后進(jìn)行報(bào)警和攻擊呈現(xiàn),并將報(bào)警信息記錄到日志中.主要有以下4種方法:

1) 多步攻擊關(guān)聯(lián).隨著網(wǎng)絡(luò)中攻擊模式的多樣化、集團(tuán)化,多步攻擊已成為網(wǎng)絡(luò)攻擊中越來(lái)越重要的構(gòu)成因素.目前主要有基于因果關(guān)聯(lián)的關(guān)聯(lián)方法和TIAA關(guān)聯(lián)工具.

2) 警報(bào)信息融合.主要采用相似度關(guān)聯(lián)算法及聚類(lèi)、分類(lèi)等算法處理原始警報(bào)信息,達(dá)到減少警報(bào)數(shù)量的目的[12].但警報(bào)的屬性較多,警報(bào)的相似性難以定義,不易從眾多屬性中篩選出有效的特征值,對(duì)專家選擇屬性的正確性依賴較大,很難發(fā)現(xiàn)警報(bào)之間的因果關(guān)系,大量原始警報(bào)的手工分析效率較低.

3) 交叉關(guān)聯(lián).學(xué)習(xí)警報(bào)數(shù)據(jù)中隱含的關(guān)聯(lián)模式,利用學(xué)習(xí)得出的警報(bào)關(guān)聯(lián)模式分析新產(chǎn)生的警報(bào)關(guān)聯(lián)數(shù)據(jù),自動(dòng)生成警報(bào)關(guān)聯(lián)模式.缺點(diǎn)是需要使用大量數(shù)據(jù)進(jìn)行訓(xùn)練,同時(shí)不能分析出訓(xùn)練數(shù)據(jù)中沒(méi)包含的模式.

4) 其他關(guān)聯(lián)方法.復(fù)雜攻擊由不同階段的攻擊組合而成,這些攻擊間存在一定的關(guān)聯(lián)特征,由此產(chǎn)生的警報(bào)間也具有關(guān)聯(lián)性.目前主要有日志關(guān)聯(lián)方法和信息事件關(guān)聯(lián)方法等.

2.3.4 警報(bào)模塊 入侵檢測(cè)系統(tǒng)本質(zhì)上是為了通過(guò)發(fā)現(xiàn)數(shù)據(jù)特征來(lái)識(shí)別攻擊,發(fā)現(xiàn)攻擊后,最重要的工作就是報(bào)警,通過(guò)相應(yīng)的機(jī)制也可以做到入侵的響應(yīng),如iptable防火墻的聯(lián)動(dòng)、入侵的反向追蹤等方法.同時(shí),也可結(jié)合電子證據(jù)的研究,進(jìn)行網(wǎng)絡(luò)入侵的審計(jì)采集,為大規(guī)模的多步攻擊提供確實(shí)可信的電子證據(jù).

3 模型對(duì)比分析

在模型結(jié)構(gòu)方面,目前已有很多研究成果,如分布式入侵檢測(cè)系統(tǒng)(DIDS)在處理小規(guī)模數(shù)據(jù)時(shí)較有效,但難處理大規(guī)模數(shù)據(jù),且容易出現(xiàn)單點(diǎn)故障；基于圖形的分層多步入侵攻擊檢測(cè)系統(tǒng)(GrIDS)不會(huì)出現(xiàn)單點(diǎn)故障但仍存在規(guī)模有限、不易擴(kuò)展的問(wèn)題；基于相似度的警報(bào)關(guān)聯(lián)系統(tǒng)可擴(kuò)展性較好,但難處理復(fù)雜攻擊；基于多級(jí)的多步入侵警報(bào)關(guān)聯(lián)體系結(jié)構(gòu)可處理未知的攻擊,但構(gòu)建攻擊數(shù)據(jù)庫(kù),進(jìn)行警報(bào)關(guān)聯(lián)花費(fèi)的代價(jià)較高[13].將本文模型與上述模型進(jìn)行比較可見(jiàn),本文模型主要有以下3個(gè)特點(diǎn)：

1) 已有的對(duì)入侵警報(bào)關(guān)聯(lián)的研究多數(shù)集中在異構(gòu)警報(bào)數(shù)據(jù)融合處理方面,本文模型充分利用領(lǐng)域知識(shí),提出了基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型,從多步入侵警報(bào)關(guān)聯(lián)角度出發(fā),設(shè)計(jì)了一個(gè)適用于多步入侵檢測(cè)領(lǐng)域的模型,擴(kuò)展性好,能處理較大規(guī)模的數(shù)據(jù),不需要專家人工建立攻擊特征數(shù)據(jù)庫(kù),建立知識(shí)庫(kù)花費(fèi)的代價(jià)相對(duì)已有的系統(tǒng)較小;

2) 因?yàn)閱蝹€(gè)IDS數(shù)據(jù)和多個(gè)IDS數(shù)據(jù)融合后的數(shù)據(jù)特征可能存在不同的特性,考慮到減少關(guān)聯(lián)分析系統(tǒng)的負(fù)擔(dān),增強(qiáng)檢測(cè)效果,本文在模型中對(duì)單個(gè)IDS的過(guò)濾和數(shù)據(jù)預(yù)處理與多個(gè)IDS的過(guò)濾和數(shù)據(jù)處理及融合分開(kāi),從而可由不同的領(lǐng)域考慮,提出適合不同情況的單IDS過(guò)濾器和多IDS過(guò)濾器,盡可能地發(fā)揮IDS的功能,提高檢測(cè)效率,處理更復(fù)雜的攻擊;

3) 對(duì)關(guān)聯(lián)分析方法及多步場(chǎng)景知識(shí)庫(kù)的構(gòu)建進(jìn)行了分析,同時(shí)在模型中也對(duì)諸如優(yōu)先級(jí)設(shè)置和頻度分析進(jìn)行了研究,能夠結(jié)合系統(tǒng)特性,為應(yīng)用者針對(duì)特定攻擊提出特定的關(guān)聯(lián)分析工具.

綜上所述,本文提出了一種基于數(shù)據(jù)挖掘的多步入侵警報(bào)關(guān)聯(lián)模型,該模型結(jié)合多個(gè)入侵檢測(cè)系統(tǒng)的警報(bào)信息進(jìn)行融合,對(duì)大量的、無(wú)序的警報(bào)信息進(jìn)行分析,從而發(fā)現(xiàn)其中的內(nèi)在聯(lián)系,精簡(jiǎn)攻擊事件警報(bào),并通過(guò)不斷更新的場(chǎng)景知識(shí)庫(kù)發(fā)現(xiàn)融合后警報(bào)中的多步入侵行為,在異構(gòu)多IDS關(guān)聯(lián)、知識(shí)庫(kù)的構(gòu)建效率方面具有較好的效果.

[1] HU Liang,JIN Gang,YU Man,et al.Techniques of IDS Based on Anomaly Detection [J].Journal of Jilin University: Science Edition,2009,47(6): 1264-1270.(胡亮,金剛,于漫,等.基于異常檢測(cè)的入侵檢測(cè)技術(shù) [J].吉林大學(xué)學(xué)報(bào): 理學(xué)版,2009,47(6)：1264-1270.)

[2] Ghosh A K,Schwartzbard A.A Study in Using Neural Networks for Anomaly and Misuse Detection [C]//Proceedings of the 8th USENIX Security Symposium.Berkeley: USENIX Association,1999: 12.

[3] JIANG Qian,HU Liang,ZHAO Kuo,et al.Research on Security of Telecommunication Accounting System [J].Journal of Jilin University: Information Science Edition,2009,27(4): 383-388.(姜千,胡亮,趙闊,等.入侵檢測(cè)系統(tǒng)評(píng)估技術(shù)研究 [J].吉林大學(xué)學(xué)報(bào): 信息科學(xué)版,2009,27(4)：383-388.)

[4] Chandola V,Banerjee A,Kumar V.Anomaly Detection for Discrete Sequences: A Survey [J].IEEE Transactions on Knowledge and Data Engineeri,2012,24(5): 823-839.

[5] Stillerman M,Marceau C,Stillman M.Intrusion Detection for Distributed Applications [J].Communications of the ACM,1999,42(7): 62-69.

[6] XU Jing,CAO Zhong-wei.Research on Network Intrusion Detection System [J].Advanced Materials Research,2010,159: 77-82.

[7] GAO Ze-sheng,TAO Hong-cai.Implementation Mechanism of Next-Generation Intrusion Detection System [J].Journal of Yunnan University for Nationalites: Natural Sciences Edition,2003,12(4): 255-257.(高澤勝,陶宏才.下一代入侵檢測(cè)系統(tǒng)NIDES的實(shí)現(xiàn)機(jī)制 [J].云南民族學(xué)院學(xué)報(bào): 自然科學(xué)版,2003,12(4): 255-257.)

[8] Porras P,Schnackenberg D,Staniford-chen S,et al.The Common Intrusion Detection Framework Architecture [EB/OL].2006-05-02.http://gost.isi.edu/cidf/drafts/architecture.txt.

[9] ZHANG Jin-rong,LIU Feng,ZHAO Zhi-hong,et al.Applications of Data Mining to Network Intrusion Detection [J].Computer Engineering and Design,2009,30(24): 5561-5566.(章金熔,劉峰,趙志宏,等.數(shù)據(jù)挖掘方法在網(wǎng)絡(luò)入侵檢測(cè)中的應(yīng)用 [J].計(jì)算機(jī)工程與設(shè)計(jì),2009,30(24)：5561-5566.)

[10] LI Bo.Research on Anomaly Intrusion Detection Based on Data Mining [D].Shenyang: Northeastern University,2005.(李波.基于數(shù)據(jù)挖掘的異常模式入侵檢測(cè)研究 [D].沈陽(yáng)：東北大學(xué),2005.)

[11] Nurbol.Research on Anomaly Detection Based on Data Mining and Multi-stage Intrusion Alert Correlation [D].Changchun: Jilin University,2010.(努爾布力.基于數(shù)據(jù)挖掘的異常檢測(cè)和多步入侵警報(bào)關(guān)聯(lián)方法研究 [D].長(zhǎng)春：吉林大學(xué),2010.)

[12] Patcha A,Park J M.An Overview of Anomaly Detection Techniques: Existing Solutions and Latest Technological Trends [J].Computer Networks,2007,51(12): 3348-3470.

[13] Zhou C V,Karunasekera S,Leckie C.A Peer-to-Peer Collaborative Intrusion Detection System [C]//Proceedings of the IEEE International Conference on Networks.Piscataway: IEEE Press,2005: 118-123.