（计算机系统结构专业论文）入侵检测的分级告警关联理论和技术研究.pdf

摘要+ y5 7 8 9 77 随着i n t e r n e t 技术的高速发展，网络安全问题变得越来越敏感和重要。网络安 全模型的发展情况分析指出：动态网络安全模型是适合当前分布式的、动态变化的 互联网安全问题的最好模型，入侵检测是体现动态网络安全模型特点的主要组成部 分之一。随着黑客攻击手段和技术的日益复杂化、更具隐蔽性和分布式发展，入侵 检测在大规模分布式系统中的应用越来越受到关注，分布式系统的异构性和自治性 以及传统入侵检测系统自身的缺陷使得重复性的、不完善的或不完整的告警数据大 量泛滥，系统管理员难于控制和管理告警数据，导致漠视告警，产生极高的误报率 和漏报率，入侵意图的识别也变得更加困难，从而不能及时对入侵作出相应反应， 给系统带来巨大的损失。 告警关联技术是解决上述问题的一种有效方法。目前的告警关联技术虽然取得 了一定的进展，但它们还存在许多急需改进的地方，例如，不能同时处理各种特征 混合的告警关联；关联结果不能识别真正攻击意图；没有考虑丢失告警数据的恢复 以及缺乏后关联机制等。故离问题的解决仍有很大的距离。 分级告警关联理论和技术的提出可以有效地解决上述问题。分级告警关联由三 个关联处理层构成，即原始事件归约层、原子事件关联层和攻击意图识别层。 告警数据分布式的特点使得同一攻击事件可能给出了若干个告警，导致重复性 告警数据的泛滥，原始事件归约层采用实时归约算法，通过实时搜索并匹配给定时 间e t 间隔内的告警数据的各特征( a t t a c k n a m e ，s o u r c e ，t a r g e t ，s e r v i c e ) 进行合并和归约， 可以有效地精简重复性告警数据。 原子事件关联层采用混合关联技术：自调节增量贝叶斯分类器和实时因果关联 算法共同作用进行原子事件的关联。对于攻击发生时问非常同步的具有关联关系的 告警数据，其相应特征( 如攻击名、源目的口地址和端1 3 等) 之间一定存在相似 性，其相似度的计算可以采用贝叶斯分类器参数估计来完成，考虑到告警数据的海 量特征、攻击方式属性取值的特殊性以及相关特征属性的环境特定性，提出使用自 本文的研究t 作受国家信息安全应急计划资助项目( 8 6 3 3 0 1 0 6 0 1 ) 、国家信息安全办公室资助 项目( 2 0 0 i 一研l 一0 0 4 ) 和武汉市科技计划基金资助项目( 2 0 0 1 0 1 1 1 1 ) 的资助 - 麓舅懈煮 潺繁增量贝时额分类器寒完藏具有最小时阗接近痉( 对于溃露扫搐可以逶当放宽时 间接j 丘值) 的告警数据间的概率关联，由此可以提高关联( 分类) 效果、减小关联 跨算复杂度葶f l 润遂娥模；攻毒事件一般不会孤立出筑，在一跤时闯塞嗣雨存在关联 的告警数据，彼此之间必然存在因果关系，即一个攻击的执行总是在为后面的攻击 箨准备，壹到达到最终酶瑟意强的为斑，毽羹笔对于攻击发生时蕊跨蹙较大汝告警， 采用实时因果关联算法来进行告警关联。通过建立攻击因果模型( 和后面的规划模 奎一致) ，郎三元组( 攻击名，发生翁提条臀，发垒三盾可能结采) ，螽两两项为原子 谓词或谓词公式形式，构造单个原子攻击的知识库，使用s q l 语句 ( s e 糙! c t - f r o m w 辑e 瑚! ) 离线查找出所有的攻击关联，自动生成告警关联知识 库，然后在线接受告警数据，实时进行关联处理，重构出攻击场景。混合关联技术 的弓j 入可以她理函采关联和菲因果关联共存一个告警数据集的情形，扶而进一步地 精简了告警数据，并在更大程度上提离了告警关联率，降低了误告警率，固时对检 测率影响也不大。 攻击意图识剐层又舔为后关联层，它有麟个作熙，第一：试图找圈丢失魄关键 告警，使得目前断连的、但实际却是关联的告警数据可以关联，从而提高攻击场景 螅重构率。簿二：对予攻击鳕为隶属多个不阚攻击场景，但鬏终攻毒悫墨不秘数凑 形则使用对抗式规划沮别模型来选择最优攻击场景路径，以较准确地榔读攻击意图。 使用援划求辫方法怼攻壹过程( 即攻毒殇景) 建搂，势爱遗鹜安全繁貉懿系统状态 对攻击意图建模，引入虚拟告警表示丢失的告警数据，并使用实时因果关联算法和 基予凝率传播酾更囊簿法静煲时囊溺攘瑾模黧完藏了。至述功黥。实镶表明所提出豹 算法能较准确地定位攻击意图、理解攻击策略。 篌餍m i tl i n c o l nl a b 绘篷的2 0 0 0d a r p al l d o s l 。0 帮s h m o og r o u p 收集豹 d e f c o n8c t f 数据集分别对分级告警关联算法进行了性能测试，实验验证了算法 的有效 生。 关键词：分椎式入侵枪测；告警关联；贝叶斯分类器；因果关联；规划；规划识别 攻击场景 u a b s t r a c t + w i t h h i g h s p e e dd e v e l o p m e n t o fi n t e m e tt e c t m o l o g i e s ，n e t w o r ks e c u r i t yh a sb e c o m e m o r ea n dm o r es e n s i t i v ea n di m p o r t a n t 。t h ed e v e l o p m e n t a n a l y s i so f n e t w o r ks e c u r i t y m o d e l si n d i c a t e st h a td y n a m i cn e t w o r ks e c u r i t ym o d e li sb e s tm o d e l r e f l e c t i n gc u r r e n t d i s t r i b u t e d e v e r - c h a n g i n gi n t e r n e ts e c u r i t yp r o b l e m sa n di n t r u s i o nd e t e c t i o ni so n eo f i t sm a i nd y n a m i c c o m p o n e n t t h ei n c r e a s i n g l yc o m p l e x ，s t e a l t h ya n dd i s t r i b u t e df e a t u r e s o f a t t a c km e t h o d s t e c h n o l o g i e sh a v em a d e a p p l i c a t i o no f i n t r u s i o nd e t e c t i o nb e c o m e a f o c u so fa t t e n t i o ni nt h el a r g es c a l e sd i s t r i b u t e ds y s t e m s t h e r ea r eaf l o o do f d u p l i c a t e d o ri n c o m p l e t eo ru n p e r f e c ta l e r t si nh e t e r o g e n e o u s & a u t o n o m o u sd i s t r i b u t e ds y s t e ma n d t r a d i t i o n a li n t r u s i o nd e t e c t i o ns y s t e mw i t hf l a w s ，i t sd i f f i c u l tf o rs y s t e ma d m i n i s t r a t o rt o c o n t r o la n d m a n a g e a l e r t s 。a sar e s u l t ，aa m o u n to f t m ea l e r t sa r ed i s r e g a r d e da n d h i g h e r f a l s en e g a t i v eo rf a l s ep o s i t i v ei sg e n e r a t e d ，i t sd i f f i c u l tt or e c o g n i s ei n t r u s i o ni n t e n t i o n a n dt a k ea p p r o p r i a t ea c t i o n st o o a l e r tc o r r e l a t i o ni so n eo fe f f e c t i v em e t h o d sw h i c hc a nr e s o l v ea b o v ep r o b l e m s r e s e a r c h e so na l e r tc o r r e l a t i o nh a v eb e e ni np r o g r e s s ，b u tt h e r ei ss t i l lal o n g w a y t og o f o r e x a m p l e ，t h e r ea r es o m ep r o b l e m sw a i t i n gf o rb e i n gr e s o l v e dw h i c hc a n td e a lw i t h a l e r tc o r r e l a t i o nm i x i n gp r e r e q u i s i t e sa n d c o n s e q u e n c e so fi n t r u s i o n sw i t hc h a r a c t e r i s t i c s i m i l a r i t yo fi n t r u s i o n s ，d o n tc o n s i d e rw h e t h e rr e a li n t r u s i o ni n t e n t i o ni sr e c o g n i s e da n d h o wt of i n do u tm i s s e da l e r t s a n d1 a c ki nm e t a c o r r e l a t i o n p o l i c i e s ah i e r a r c h i c a la l e r tc o r r e l a t i o n t h e o r y & m e t h o di sp r e s e n t e dt or e s o l v ea b o v e p r o b l e m s i ti sm a d eu po ft h r e ec o r r e l a t i o nl a y e r s ，n a m e l yr a we v e n tr e d u c t i o nl a y e r , a t o m i ce v e n tc o r r e l a t i o nl a y e ra n di n t r u s i o ni n t e n t i o n r e c o g n i t i o nl a y e r , t h a tm a n y d u p l i c a t ea l e r t sm a yc o m ef r o ms a m ea t t a c ke v e n ti sd u et od i s t r i b u t e d s e n s o r s - i nr a we v e n tr e d u c t i o nl a y e gr e a l t i m e d u p l i c a t er e d u c t i o na l g o r i t h m ，w h i c h 。t h i sr e s e a r c h w o r k i s s u p p o r t e d b y n a t i o n a l h i g h t e c h n o l o g y p l a n o f c h i n a ( 8 6 3 p l a n ) ( g r a n t n o 8 6 3 _ 3 0 1 _ 0 6 - 0 1 ) ，n a t i o n a ln e t w o r k i n f o r m a t i o ns e c u r i t ym a n a g ec e n t e r o f c h i n a ( g r a n t n o2 0 0 1 ”r e s e a r c hi - 0 0 4 ) a n dw u h a n s c i e n c e t e c h n o l o g yp r o j e c to f c h i n a ( g r a n tn o 2 0 0 0 1 0 1t h i i s e a r c h e sf o rd u p l i c a t ed e f i n i t i o n st h a tt w oo rm o r ea l e r t s g e n e r a t e db yt w oo rm o r e s e n s o r sc o n t a i n 翘i d e n t i c a lq u a d r u p l e ( a t t a c k n a m e ，s o u r c e ，t a r g e t ，s e r v i c e ) a n dt i m e s t h a ta r ei ng i v e nt i m ei n t e r v a lw i n d o w , i si m p l e m e n t e dt o a v a i l a b l yr e d u c ed u p l i c a t e a l e r t s i na t o m i ce v e n tc o r r e l a t i o nl a y e r , am i x e dc o r r e l a t i o nm e t h o dt h a ti n c l u d e sa d j u s t a b l e i n c r e m e n tb a y e s i a nc l a s s i f i e ra n dr e a l w t i m ec o r r e l a t i o na l g o r i t h mb a s e do n p r e r e q u i s i t e s a n dc o n s e q u e n c e so fi n t r u s i o n si sp r e s e n t e dt oc o r r e l a t ea t o m i ce v e n t st o g e t h e r o nt h e o n e h a n d ，t h ec o r r e s p o n d i n g a t t r i b u t e so fc o r r e l a t e da l e r t sw h i c ho c c u ra l m o s t s i m u l t a n e o u s l ys u c ha sa t t a c kn a m e ，s o u r c e t a r g e ti pa d d r e s sa n ds e r v i c e ，e t cm u s tb e s i m i l a ra n ds i m i l a r i t yc a nb ec o m p u t e du s i n gp a r a m e t e re s t i m a t eo f b a y e s i a nc l a s s i f i e r c o n s i d e r i n gg r e a tc a p a c i t ya l e r t s ，v a l u e s p e c i f i c a t t a c k n a m ea t t r i b u t ea n d s i t u a t i o n s p e c i f i cf e a t u r e s 。a na d j u s t a b l e i n c r e m e n tb a y e s i a nc l a s s i f i e ri s d e s i g n e d t o c o r r e l a t ea l e r t sw i t hd e t e c t t i m e s i m i l a r i t y i no r d e rt o i m p r o v ee f f e c t i v e n e s so fa l e r t c o r r e l a t i o na n dr e d u c ec o m p u t i n g c o m p l e x i t ya n ds c a l e o nt h eo t h e rh a n d ，i ns e r i e so f a t t a c k sw h i c hc o n t i n u e p e r i o do f t i m e ，t h ec o m p o n e n t a t t a c k sa r cu s u a l l yn o ti s o l a t e d ，b u t r e l a t e da sd i f f e r e n ts t a g e so ft h ea t t a c k s ，w i t ht h ee a r l yo n e s p r e p a r i n gf o rt h ei a t e ro n e s s or e a l t i m ea l e r tc o r r e l a t i o na l g o r i t h mb a s e do np r e r e q u i s i t e sa n dc o n s e q u e n c e so f i n t r u s i o n si su s e dt oc o r r e l a t ea l e r t si n g i v e nt i m ed u r a t i o nw i n d o w a na t t a c k i s r e p r e s e n t e du s i n gt h r e ef i e l d s ：a t t a c kn a m e ，p r e r e q u i s i t e sa n dc o n s e q u e n c e s ，p r e r e q u i s i t e s a n d c o n s e q u e n c e si sa s e to f p r e d i c a t e sr e s p e c t i v e l y , t h ek n o w l e d g eb a s ew h i c hs t o r e sa l l a t o m i ca t t a c ki ss e tu p ，a l e r tc o r r e l a t i o nr u l eb a s ei s a u t o m a t i c a l l yg e n e r a t e db ys q l q u e r ys t a t e m e n t s ( s e l e c t - f r o m w h e r e ) o f f i i n e ，t h e na l e r t sa r ec o r r e l a t e du s i n g r u l em a t c h i n go n l i n e a b o v em i x e dc o r r e l a t i o nm e t h o dm a yd e a lw i t ha l e r tc o r r e l a t i o n m i x i n gp r e r e q u i s i t e s a n dc o n s e q u e n c e so fi n t r u s i o n sw i t hc h a r a c t e r i s t i c s i m i l a r i t yo f i n t r u s i o n s a sa r e s u l t ，a l e r t sa r er e d u c e df a r t h e r ，a l e r tc o r r e l a t i o n r a t ei si m p r o v e dg r e a t l y a n df a l s ea l e r tr a t ei sr e d u c e dw i t h o u ts a c r i f i c i n gt h ed e t e c t i o nr a t et o om u c h i n t r u s i o nr e c o g n i t i o nl a y e r ( n a m e l ym e t a - e o r r e i a t i o n l a y e r ) a t t e m p t st o f i n do u t m i s s e dk e ya l e r t st h a tc a r lr e e o r r e l a t ea l e r t sa n dc o n s t r u c ti n t r u s i o ns c e n a r i o s ，a n du s e s b a y e s i a nn e t w o r kt o d e c i d ew h i c hi st h eb e s ti n t r u s i o no b j e c t i v e st h a t e x p l a i na l lt h e o b s e r v a t i o n sw h e nt h ei n t r u d e rd i dn o ta c h i e v e dh i si n t r u s i o no b j e c t i v ey e tb u tt h e r ea r e s e v e r a lp o s s i b l ei n t r u s i o n o b j e c t i v e s c o n s i s t e n tw i t hag i v e n s e q u e n c eo fc o r r e l a t e d a t t a c k s 。t h ea t t a c kp r o c e s s ( n a m e l yi n t r u s i o ns c e n a r i o ) i sm o d e l l e da s8p l a n n i n gp r o c e s s ， t h ei n t r u s i o ni n t e n t i o ni sm o d e l l e da ss y s t e ms t a t ev i o l a t i n gag i v e ns e c u r i t yr e q u i r e m e n t ， m i s s e da l e r ti s r e p r e s e n t e du s i n g v i r t u a l a l e r t ，a b o v e f u n c t i o n sa r e c o m p l e t e db y c o m b i n i n gr e a l t i m e c o r r e l a t i o na l g o r i t h mb a s e do np r e r e q u i s i t e sa n dc o n s e q u e n c e so f i n t r u s i o n sw i t h b a y e s i a nn e t w o r kb a s e do np r o b a b i l i s t i cp r o p a g a t i o n a n du p d a t i n g a l g o r i t h m i n s t a n c es h o w s t h a ta b o v ea l g o r i t h mc a nr e c o g n i z ei n t r u s i o na n du n d e r s t a n d a t t a c k s t r a t e g i e s t w od a t a s e t s ( 2 0 0 0d a r p al l d o s1 0f r o mm i tl i n c o l nl a ba n dd e f c o n8 c t ff r o ms h m o o g r o u p ) a r e u s e dt oe v a l u a t et h r e e l a y e ra l e r tc o r r e l a t i o na l g o r i t h m t h e e x p e r i m e n t a l r e s u l t ss h o wh i e r a r c h i c a lc o r r e l a t i o na l g o r i t h mi se f f e c t i v e k e y w o r d s ：d i s t r i b u t e di n t r u s i o nd e t e c t i o n ；a l a r mc o r r e l a t i o n ；b a y e s i a nc l a s s i f i e r ； c o r r e l a t i o nb a s e do n p r e r e q u i s i t e s a n d c o n s e q u e n c e so f i n t r u s i o n s ；p l a n ； p l a nr e c o g n i t i o n ；a t t a c ks c e n a r i o v 1 1网络安全与入侵梭测 1 绪论 隧麓遥莹技术露计翼掇技术的一琶速发展，镲感鲍处理稆传递突破了眩润和遗域瞧 陵制，网络纯与全球纯成为不可抗撞的世赛潮流，i n t e m e t 在政治、军事、会融、商 业、交通、电信、文教等社会生活的各个领域和环节，正发挥着越来越重要的作用。 电子商务、电子现金、数字货币、网络银行等网络新业务的兴起以及各种专用网( 如 金融嘲簿) 的建设，使褥网络安全问题日益突浅。据统计，全球约2 0 秒钟就有一次 诗冀辍入侵事赞发生，i n t e m e t 上匏殛络陵火潼约i ，4 被突酸，终7 以上懿嚣络信惑 主管人员报告因机密泄露而受到了损失，美国每年因网络安全造成的损失高达7 5 亿 美元之多。网络安全是一个关系国家安全和主权、政府的形象、企业的利益、社会的 稳定、民族文化的继承和发扬的重要问题。因此对网络安全技术的研究也已成为当今 诗算樵_ 秘透信嚣的热点鞠羹曩硬究领域，正戏失人们曩盏密切关注斡焦点。 从广义上讲，凡是涉及弼霹络上信息静豫密 ! 童、完整洼、可拜j 性、真实性和可控 性的相关技术和理论都是网络安全的研究领域。其中保密性体现在能够预防制止检 测网络信息的非授权泄露的特性，完整性涉及列网络信息的非授权改变的预防制止 检测蛉特性，可用性则指能够预防i n 止检测喇络信息或资源的非授权挪制的特性。 警凝蕊霹络安全技术郄楚基予静态建络安全模蘩懿、以防护为主瓣静态毅东，强 访问控制、选用安全级别离的操作系统和数攒库、加密、认证和授权等，它们的目的 仅仅魁加固系统的安全性，阻止和预防非授权用户破坏系统的机密性、可用性和完整 性。它们虽然在一定程度，巴加固了系统的安全，解决了部分安全问题，但由于以f 并 霉孛骧爨，套静安全隐患仍然存在。 ( 1 ) 每一种安全税制都有一定的应蠲范嗣霸应臻环境。如游火墙是一种有效静 安全工具，它可以隐蔽内部网络结构，限制外部网络到内部网络的访问。但对于内部 网络之间的访问则无能为力，因而很难发觉和防范内部网络问的入侵行为和内外勾结 的入侵行为。 ( 2 ) 安全工具的使用受到人为因素的影响。一个安全工具能不能实现期望的效 果，在很大程度上取决于使用者，包括系统管理员和普通用户，不正当的设置就会产 生不安全凶素。例如，n t 在进行合理的设置后可以达到c 2 级的安全性，但很少有人 能够对n t 本身的安全策略进行合理的设置。虽然征这方而，闭+ 以通过静态扫描r 具 求榆测系统足否进行了合理的设筲，但是这些扫描1 i 具基本l ：也成是j 基于利t 缺省 n 系统蜜令策略进行比较，针坩县体的应用环境利专门的应用需求就很难判断设的 n i 确性。 3 ) 在软件一i 程中存在软件测试不充分、软件生命周期缩短、人型软什爪复杂 等难解问题，f 巾软件开发商为了抢占市场，过早推出了不很稳定的产品，因而许多大 型软件( 如应用程序、操作系统等) 不可避免地存在许多b u g ”。另外操作系统自身 结构体制的缺陷也是影响安全性的一个重要原因。这些都极易被黑客利用来闯入系统 窃取保密信息或造成系统拒绝服务。 ( 4 ) i n t e m e t 流行的协议基础t c p i p 在设计初期对安全性考虑不周【“，存在许多 协议实现漏洞，使得连接到网络上的计算机系统易受到恶意攻击、窃取和欺骗。如源 地址欺骗或i p 欺骗、源路由选择欺骗、路由选择信息协议攻击、t c p 序列号欺骗以 及各种拒绝服务攻击( 如s y n f l o o d 攻击、l a n d 攻击、j o l t 2 攻击等) 。不少应用协议( 如 f t p 、t e l n e t 等) 的认证口令采用明文传输，极易被窃听。虽然i p s e c 协议被设计出来 克服上述设计缺陷，但目前仍未得到广泛使用。 ( 5 ) 许多基于口令的认证授权系统，由于用户对口令设置过于简单而容易被破 解或因管理不善而被泄露，导致系统并不安全。 ( 6 ) 内部用户滥用特权，危害系统的安全。调查表明，8 0 的网络安全事件来自 内部人员。 ( 7 ) 黑客的攻击手段在不断地更新，几乎每天都有不同的系统安全问题出现。 而安全工具的更新速度却很慢，绝大多数情况需要人为的参与才能发现以前未知的安 全问题，这就使得它们对新出现的安全问题总是反应太慢。当安全工具刚发现并努力 更f 某方面的安全问题时，其他的安全问题又出现了。因此黑客总是可以使用先进的、 安全工具不知道的手段进行攻击。因此要建立一个完全安全的系统，从实际上看是根 本不可能的。 在这种情况下，动态网络安全模型应运而生。作为其主要特色的动态安全技 术一一入侵检测技术也随之得到了迅速发展。入侵检测技术是入侵防护技术的重要补 充，是计算机和网络系统的第二层屏障，是计算机网络安全不可缺少的组成部分。所 谓入侵检测( i n t r u s i o nd e t e c t i o n ) 技术，就是指一种能及时发现入侵，成功阻止网络 黑客入侵，并在事后对入侵进行分析，查明系统漏洞并及时修补的网络安全技术”1 。 进行入侵检测的软硬件组合便是入侵检测系统( i n t r u s i o nd e t e c t i o ns y s t e m ) 。其主要 功能有：( 1 ) 监测并分析用户和系统的活动；( 2 ) 核查系统配置和漏洞；( 3 ) 评估系统关键 资源和数据文件的完整性；( 4 ) 识别已知的攻击行为；( 5 ) 统计分析异常行为：( 6 ) 操作系 统同志管理，并识别违反安全策略的用户活动。理想i d s 能够准确地检测出所有的入 侵，并仅仅报告出真实发生的入侵，不会产生误报，然而实际情况下这种情形可能永 远不会发生。关于入侵检测在第二章将会作详细的讨论。 1 2 分布式环境中的入侵检测及存在的问题 网络系统结构的不断复杂化和大型化，给入侵检测领域带来了许多新的挑战和问 题，主要体现为：( 1 ) 系统的弱点或漏洞分散在网络中各个主机上，这些漏洞可能被入 侵者利用一起来攻击网络，而依靠唯的为单机或小规模网络环境设计的传统的i d s 难于胜任检测任务。( 2 ) 互联网的蠕虫事件和分布式拒绝服务攻击充分表明攻击行为正 加速朝分布式发展，入侵行为不再是单一的行动，而表现为彼此协作入侵的特征。( 3 ， 入侵检测所依靠的数据来源分散化，收集原始检测数据变得困难。( 4 ) 网络速度传输加 快，网络的流量也越来越大，集中处理原始数据的方式往往造成检测瓶颈，导致漏报。 这些都促进了分布式入侵检测的飞速发展和积极研究。网络安全研究者已在分布式系 统结构的改善、接口的标准化方面做了大量工作，取得了丰硕的成果，具体见下一章 的讨论。但是它们对大规模分布式系统两个内在特性：异构性和各组件的自治性考虑 不足，使得分布式系统的协作性能较差，工作效果不理想。例如各种i d s 工作方式和 检测策略不同、各个厂家各自为政，彼此排斥，对于同一攻击所给的告警信息各不相 同，使得系统管理员难于取舍或疲于重复处理，导致漠视告警而漏报真萨攻击，从而 不能准确判断攻击意图并作出相应的反应。 本沦文从全局视点出发，通过对整个分布式网络巾告警数据的关联分析和入侵意 图的口 别，能在一定程度上解决上述问题，达到了较准确定位攻击的目的。 1 3 本文研究的主受态窑 本文的研究工作是在困家8 6 3 应急计划项目一“模糊自适威入侵检测系统”课题 ( 编号：8 6 3 3 0 1 0 6 0 1 ) 、国萤安办2 0 0 1 一垂嚣1 - 0 0 4 零武汉审科技诗划顼晷“v v e b 薅终 系统安全娥胁与防护技术研究”课题( 编号：2 0 0 1 0 1 1 1 1 ) 的支持下完成的。鉴于目 前分布式入侵检测系统相互协作能力较差、告警数据泛滥，缺芝有效的关联分析，导 致检测准凑率不裹，误摄率德低、准确定位攻击困难等映点，本沦文深入建磺究了分 布式入侵梭测系统的告警关联按术，所做的工作主要有： ( 1 ) 分析网络安全模型的发展历程和特点。 ( 2 ) 磷究当剪各类入侵检测接零融及分匆式入授检测系绞缝褥载发震秽褥准讫。 ( 3 ) 螽丹究入侵检测系统的各类静警关联技术。 ( 4 ) 提出分级告警关联层次结构。 ( 5 ) 分孝厅分蠢式系统中告警数攒鲍特钲，设计乐始告警事 簪婚约算法。 ( 6 ) 摄出采用自镧节增量贝时新分类器进行概率关联，势给予了实例说骥。 ( 7 ) 设计基于规划模型的攻击关联算法和攻击场景的重构，并进行了性能分析。 ( 8 ) 梅造入侵检测的翘划识别横型，莠进行了实例说明。 ( 9 ) 使用d a r p al l d o s l 0 和s h m o og r o u p 提供的d e f c o n8c t f 数据集对算 法进行了性能测试，并对测试结果进行了深入分析。 本文鲍綦本结构为： 第1 章：绪论。分桥计算机网络安全面临的各种安全隐患，介绍入侵检测的研究 和主要功能以及分布式入侵检测研究的必要性，指出了当前分布式入侵检测系统在相 互协作以及告警关联融合方露存在的严熏问题，提滋了研究分农式入侵检测告警关联 的思路。粥此提出了本文的主要磷究内容。 第2 章：分布式入慢检测发展现状。介绍静态网络安全模型的缺陷和动态网络安 全模型的发展情况，论述了入侵检测瑟统发展的麓要历史，并从c i d f 各组 孛黪工作 角度讨论了i d s 匏分类，介绍了分布式入侵捡i l l 系统的发展情况。研究了分布式告警 数据的特点，讨论了告警关联技术及敞在入侵检测系统中的应用现状。 凄 第3 章：建立了分级告警关联层次结构。分别设计了实时告警事件归约算法、a 调节增量贝叶斯分类器和实时因果关联算法以及基于贝叶斯网的规划识别模型。 第4 章：深入地研究了基于分级告警关联分析和规划建模的攻击场景重构模型。 第5 章：利用d a r p al l d o s i 0 数据集和d e f c o n 8c t f 数据集对算法进行了性能 测试，并给出了测试分析。 第6 章：全文总结。 2 分布式入侵检测的发展现状 2 1 静态网络安全模型的缺陷 a n d e r s o n 4 1 在1 9 7 2 年提出了计算机安全模型( 图2 1 ) ，采用访问控制机制舯1 来 保证系统的安全。访问控制机制识别与认证主体身份，根据授权数据库的记录决定是 否可以允许主体访问对象。这一模型是基于开环控制的安全理论( 图2 2 ) 基础的， 即将计算机安全归结为主体( 例如人) 对客体( 例如数据) 访问时是否符合预定的控 制规则( 即安全策略) ，如符合则为安全，如能躲过控制则为不安全。 图2 1 安全经典模犁 主体安全策略 客体 图2 2 开环控制的安全系统模型 在这之后，b e l ld e ，l a p a d u l al j 7 1 与b i b ak j 【8 1 提出了基于信息流的增强安全实 现方法，给出了b e l l & l a p a d u l a 模型。这些模型为了保证机密性与一致性丽对系统的 限制太死，系统复杂，效率太低，灵活性差，没有太大的使用价值。1 9 8 5 年美国国防 部( d o d ) 国家计算机安全中心( n c s c ) 为适应军事计算机的保密需要，在上述模 型的基础上提出了可信任计算机系统评估准则( t c s e c ，d o d 5 2 0 0 2 8s t d ) ，按 照控制强度将计算机安全等级划分为4 类8 级，由低到高依次为d 级、c 1 c 2 级、 b 1 b 3 级和a 1 a 2 级，其中a 2 空缺，d 为安全性不足，实际可使用的是6 级。其 后又对网络系统、数据库等方面作出了系列安全解释，形成了安全信息系统体系结构 的最早原则。9 0 年代初，英、法、德、荷四国针对t c s e c 准则只考虑保密性的局限， 联合提出了包括保密性、完整性、可用性概念的“信息技术安全评估准则”( i t s e c ) ， 但是该准则中并没有给出综合解决以上问题的理论模型和方案。近年来六国七方( 美 国国家安全局和国家技术标准研究所、加、英、法、德、荷) 共同提出“信息技术安 全评估公共准则”( c c ：t h ec o m m o nc r i t e r i af o ri n f o r m a t i o nt e c h n o l o g ys e c u r i t e v a l u a t i o n ) 。c c 综合了国际上已有的评测准则和技术标准的精华，给出了框架和原 则要求，但它仍然缺少综合解决信息的多种安全属性的理论模型依据。c c 标准于1 9 9 9 年6 月通过国际标准化组织和国际电联表决，确立为国际标准，编号为i s o i e c1 5 4 0 8 。 该标准对安全的内容和级别给予了更完整的规范，为用户对安全需求的选取提供了充 分的灵活性。 以上述安全评估准则为代表的安全模型有着保密重于一切的目标定位，有着不计 工本追求完备的倾向，作为标准，它滞后于计算机网络和应用技术的发展。迄今为i 上= 难于甚至无法在实际应用环境中按照上述准则构造一个安全应用系统( 如缺少t c s e c 准则的成功实例) 。而且它是针对单机系统环境而制定的，对动态的安全威胁、系统 的脆弱性没有足够的描述和应对措施，是一种“静态的安全模型”，无法完全反应分 布式的、动态变化的互联网安全问题。从控制论的角度看，该理论足一个开环控制的 安全系统，显然不如闭环控制有效。 该模型采用的安全技术是基于防御的静态技术，主要集中在对系统自身的加固和 防护上，如采用安全等级高的操作系统和数据库，在网络出口使用防火墙来进行访问 控制，在数据的传输和存储中采用加密和认证等。这种单纯的防御技术存在如下一些 问题： ( 1 ) 由于缺少检测机制，故不能准确了解系统当前的安全状况和受威胁程度， 导致盲目投入，造成不必要地浪费。 ( 2 ) 防火墙作为主要的安全访问控制技术，在对抗黑客攻击方面仍存在一一些局 限性和安全隐患。首先防火墙只能对外屏蔽内部网的拓扑结构和对内屏蔽外部危险站 点，即可以防范外对内、内对外的非法访问，而对内部网络之间的非法访问无能为力， 很难发觉和防范内部网络问的入侵行为和内外勾结的入侵行为。黑客通过m o d e m 上 网能绕过防火墙的控制，大量攻击也是针对防火墙的，防火墙的配置不当也会使防火 墙失效。 2 2 动态网络安全模型的发展 动态网络安全威胁的存在和不断变化的安全需求，推动了动态网络安全模型的发 展。基于闭环控制的计算机安全理论模型( 图2 3 所示) 于1 9 9 5 年提出，安全系统由 监测、反馈和保护3 大部件组成，客体受到保护部件的保护，一旦监测部件发现攻击， 将采取措施将攻击拒之于外，如被攻入，则通过反馈部件发出信号，使保护部件更改配 置以适应新情况，能对付已发现的攻击，或发现客体已被更改，反馈部件使客体能给予 恢复。基于该理论的主要安全模型有p d r ( p r o t e c t i o n ，d e t e c t i o n ，r e s p o n s e ) 模型、p 2 d r ( p o l i c y , p r o t e c t i o n , d e t e c t i o n ，r e s p o n s e ) 模型m 1 1 1 、p d r r ( p r o t e c t i o n ，d e t e c t i o n ， r e s p o n s e ，r e c o v e r y ) 模型、p 2 d r 2 ( p o l i ey ，p r o t e c t i o n ，d e t c c t i o 巩r e s p o n s e ，r e c o v e r y ) 模 型、p 2 d r 2 c ( p o l i c y , p r o t e c t i o n ，d e