入侵检测的网络安全.doc

Hi-DRA： 入侵检测的网络安全入侵检测系统监视计算机网络查找恶意操作的证据。 网络是复杂的系统，一个全面入侵检测解决方案能应付不同内容、 速度、 抽象级别和可访问性的数据流。 因此，有必要分散入侵检测传感器到多个受保护网络、当网络的安全状况改变时能及时管理他们的配置并处理其分析结果，以便可向管理员提供高级的网络安全状况的蓝图。 本文为高速的 wans 环境提出了Hi-DRA系统，一个具有网络监控、 分析和响应功能的系统。该系统为异构、 高速环境中入侵检测传感器的模块化发展提供了一个框架。 此外，系统提供了一个支持传感器与其结果的收集和解释动态配置的基础结构。 系统作为一个整体能够提供精细跨wan监控，同时也能够关联不同的传感器分析的结果到对一个安全性冲突的高层次的描述中。 关键字 警报相关，异常检测，计算机安全， 入侵检测， 误用检测，网络安全，安全。 一、 导言这几年网络已经变得更大，更快，与高度动态。 特别是因特网，在全球范围内的 TCP/IP 网络，已经成为政府、 公司、 金融机构和数以百万计的用户的一个关键基础设施。 在全国范围内提供任务关键型服务的大规模基础设施通常由中央国家机构管理(至少也是管制)。美国国家电网就是一个例子。 与此相反，其建设的互联网是一种由公司、 机构以及不同的有时有相互冲突目标的政府子系统自主管理组成的网络。 因此，关键任务网络必须存在，并在一个不受信任的异构环境中交互操作。 此模型表明网络基础结构的保护必须依靠本地的监测以及全球协调和控制。 本地监测解决保护护卫领域的问题，主要采取主动型安全措施，广泛的监测和实时响应。 但本地的保障并不够。 蠕虫和分布式的拒绝服务 (DoS) 攻击显示基础设施未来的威胁将涉及众多的护卫领域，使其成为受害人或不愿合作者。 因此，有必要创建一个全国范围内的安全基础架构，以加强来自不同的子系统的安全相关的信息的相关性，以获取基础结构安全状况的全局视图，并用以增强中央或分布式控制站的指挥和控制能力。 分析并重新配置控件网络的安全状况的能力特别重要，尤其是基础设施受到作为一个整体的攻击，如同网络恐怖主义的例子。 在这种情况下，能够集成来自网络不同部分的信息以协调对策，并尽可能反攻是重要的。 不幸的是，网络监测和监控的现有方法实在有限。 当前技术网络监控与入侵检测不能应付日益增加的网络速度的主要方面是端到端的攻击。 监视和监测工具不能动态配置以实时响应新的威胁和关注度的变化。 监测执行不考虑受保护的网络的特点，例如拓扑和部署服务。 没有大型的协调和控制的基础设施，使人们能得到关联监测安全报告并在受保护的网络中对该类型和级别的监测进行控制。 在加利福尼亚大学Santa Barbara(UCSB)，我们高速广域网开发的网络监测、 分析和反应系统将会克服这些限制。在高速 wan 的情况下，我们在称之为Hi-DRA（高速 WAN 检测、 响应和分析） 的系统中提供了增强监测、 分析和反应的能力。 Hi-DRA 的体系结构如图一所示。 这个数字代表三个受保护的网络由Hi-DRA 监测组件配置并通过Hi-DRA 广域通信和控制基础结构连接。 受保护的网络被命名为, 和 。网络监测工具监测网络以为代表，它通过一个高速链接（图中粗黑线）连接到互联网（即在椭圆形的数字中心）。该链接的通信分为分份，分配给专用链接。在每个环节设置了网络传感器进行网络分析。对分割和分配网络流量分析，网络传感器任务的过程在第二节中做了介绍。除了监测网络上行通信的传感器， 网络是既基于主机又基于网络的传感器。这些传感器是可配置的，可监视监控的，其特征在第三节详细说明。这两种配置的传感器和通信分割算法密切针对受保护的网络。这可能由网络模型的部分组成。这个组件包含重要的有关网络安全保护的信息。该模型的结构和网络发现验证工具介绍详见1。该模型的一个实例是通过一个网络工具集的组合的手段完成的。所收集的资料是作为一个系统用于配置和定制的基础。此外，同样的工具可以用来验证网络的实际配置模型中存储的信息。这个过程使安全管理员在受保护的网络管理信息系统中确认错误的配置和可能的漏洞。最后，监察显示器是本地到每个受保护的网络是通过高科技DRA的广域通信和控制基础设施，这是在锡耶纳系统的协调2。每个网络通过汇集组件连接到基础设施（图中以六边形表示）。消息然后由一些相互关联的协调服务器通过互联网（椭圆形的网际网路内的圆圈）管理，该互联网使用Siena实现一个可扩展和生存的通信基础设施。这些基础设施，也是使用一个或多个全球指挥和监控器，它们收到来自该保护网络的警报，执行高级别情况分析和决定行动方案，并发送控制消息使用的基础设施保护网络。 由于空间的限制，我们只重点介绍少数Hi-DRA 的组件。 因此，我们会限制我们的讲述为：我们用以应付高速网络的分区技术、 我们提供高度可配置传感器的传感器网络方法和我们的入侵检测警告关联方法。 本文的其余部分的结构，如下所示。 第二部分概述了我们的分区高速网络处理方法。 第三部分讨论我们的管理和控制高度可配置的网络和基于主机的传感器传感器网络方法。 第四部分概述相关进程的组件，并讨论实现此过程的工具。 第五部分提供了相关的工作。 最后，第六部分得出结论，并概括了今后的工作。 II.监测高速链接基于网络的入侵检测系统 (NIDSs) 对窃听网络链路上获得的数据包执行安全分析。 网络速度和吞吐量不断增加会给这些系统带来新的挑战。 当前基于网络的入侵检测系统很少能在饱和的快速以太网链接 (100 Mb/s）上进行实时通信分析 3。 网络技术向前发展，千兆 以太网(1000 Mb/s) 已成为大型网络安装的事实标准。 为了保护这些装置，使用一种基于网络的入侵检测新方法来管理不断增长的数据量成为需要。 网络的速度快过处理器的速度，因此集中的解决方案已达到自己的限量。考虑深入、 有状态的入侵检测分析尤其如此。 在这种情况下传感器要维护进程中 (如：在多级攻击的情况下) 有关攻击的信息，或他们要执行数据包内容的应用级分析。 这些任务占用大量资源，并在单节点的设置可能会严重干扰检索来自网络的基本任务的数据包。 为实现能够执行深入有状态的分析，有必要将通信分成较小的部分，可以彻底地被入侵检测传感器分析。这种方法经常被高性能研究协会提出，作为一种以在多个节点之间分发服务负载的方法。 与标准负载平衡相反，入侵检测的通信分割已经以保证所有所有威胁情况检测的方式执行。 如果使用通信的随机分组，则传感器可能不会收到足够的数据来检测入侵，因为攻击的不同部分的表现形式可能已分配给不同的切片。 因此，当一个攻击由多个步骤组成的情况下，切片的机制必须确保所有这些步骤可能会触发的数据包发送到配置为该特定攻击的检测传感器。 A.高速的入侵检测的切片方法仅当一个可扩展的解决方案可用时，在高速网络中的入侵检测分析的问题可能受到有效地攻击。 考虑到监控网络链路上的通信是双向流的链路层帧 (例如，以太网帧）。 此流包含太多将由一个集中的实体实时处理的数据，并必须分割成几个较小的流，送入一批不同的分布式传感器。 每个传感器仅负责所检测到的入侵方案的一个子集，并且可以实时处理传入数据。 不过，分成流要做的方式是给每个传感器提供足够的信息来检测它运行时会看到的一个网络链接上直接相同的攻击。 B.要求总体目标是在高速网络中执行状态性的入侵检测分析。 该方法以以下要求为特点。 系统必须在签名代表与一连串的网络事件匹配的攻击场景中实现误用检测方法。 入侵检测必须由一组检测传感器执行，每个传感器负责检测子集的签名。 每个传感器必须是自主而且必须不与其它传感器进行交互。 系统必须将已分析的事件流按可管理性的大小划分片。 必须分析每个通信切片的入侵检测传感器的子集。 系统必须保证通信的分区包含检测的所有指定的攻击方案。 这意味着传感器、 签名和交通切片必须配置，以便每个传感器具有通信检测签名所需的访问权限已分配给它。 可以将组件添加到该系统，以达到更高的吞吐量。 更确切地说，这种方法必须产生一个可扩展的设计，其中一个可以根据需要来为网络吞吐量添加匹配的组件。 C.系统体系结构在上一节中列出的要求都已用于我们基于网络的入侵检测系统的设计的基础。 该系统包括网络分路器、 通信散射、 一组m个通信切片机S0，Sm-1、 一个开关、 一组n个流再聚合器R0，Rn-1，和一组p个入侵检测传感器R0，Rp-1。 体系结构的高级别说明如图 2 所示。 网络分路器组件监视高速链路上的通信流。 其任务是提取在线路上在一段时间可以见到的链路层帧的序列Ff0,f1,ft。 这一系列帧被传递给该散射，该散射划分F成m后继Fj：0 j m。 每个Fj包含帧序列的子集F（可能为空)。 每一帧fi是元素Fj的一个子序列，并因此。 散射可以使用任何分区F的算法。 此后，假定散射算法简单循环将分配到的循环方式 m系列上，赋值fi给。 这样一来，每个Fj包含一个总的 mth通信量。 每个子序列Fj被传输到一个不同的交通切片器Sj。 交通切片器的任务是按路线发送他们接收的帧到需要他们检测攻击的传感器。 因为帧路由可能是复杂的需要大量的时间，而在散射不得不跟上高行车量，只能执行很少的处理每个框架的目标不被执行此任务。 交通 slicers 连接到允许将发送给一个或多个输出通道的框架的一个切片器的开关组件。 由表示帧发送到频道的一组。 每个通道是与流 reassembler 组件和大量的入侵检测传感器相关联。 传感器与通道关联的一组由表示。 一个通道与相关联的所有传感器都能够访问该通道上发送的所有数据包。 使用此方法时可能出现的问题是两个数据包的原始顺序可能丧失，如果两个帧将不同路径接管到同一通道不同 slicers。 因此，每个通道与关联的 reassemblers 确保包出现在他们出现高速链路上的相同顺序的通道上。 也就是每个 reassembler 必须确保为每个帧，对之前。 不同攻击方案与相关传感器中的每个组件。 每个攻击情况下有一个相关联的事件空间。 事件空间指定哪些帧候选人成为攻击的表现的一部分。 例如考虑针对名格鲁吉亚受入侵检测系统在网络中的 Web 服务器的攻击。 在这种情况下事件空间为该攻击由涉及端口 80 的所有 TCP 通信的主机格鲁吉亚。 事件空间都可以表示为 disjunctions 的条文，也就是，其中每个子句是该类型的表达式。 表示从框架 （例如，框架头的一部分） 派生的值时指定一个算术的 relation(e.g.,)。 可以是常量、 一个的变量的值来自同一帧。 条文及事件空间可能会自动从该攻击说明，例如从派生签名如 Bro 4、 Sutekh 5、 6，STATL 或 Snort 7 攻击语言编写的。 D.路由框架事件空间是用来路由到不同的通道帧 slicers 筛选器定义的基础。 这些筛选器由撰写与活动一个特定的通道的所有方案相关联的事件空间决定。 更准确的活动方案组是所在的方案的一组而传感器通道上的数量。 析取操作的所有的活动方案的事件空间对应于所有条款的所有活动的方案或通道的活动场地。 结果整个表达式是筛选器每个切片器用来确定一个框架是否可以被路由到该特定的通道。 请注意，可能某些帧多个方案所需。 因此，它将对多个通道发送。 slicers 上文所述的配置是静态的 ； 就是计算是脱机启动系统之前。 静态方法患，取决交通的类型的网络数据包的很大一部分能转发到单个通道的可能性。 这将导致一个重载的附加到该通道的传感器。 静态配置，也使得预测传感器所需应付千兆位链路的确切数量。 每个传感器上的负载取决于使用的情况和实际的交通。 在 slicers 的最低要求是他们传入和传出的链接容量必须至少等于监视链路的带宽。 防止超载情况的一种方法是执行动态负载平衡。 这是通过 reassigning 的方案，以在运行时的不同途径。 此变体显然意味着需要重新配置筛选器机制在交通 slicers 和更新的子句，用于分配渠道。 在整个方案以不同渠道的重新分配，很有可能以一个单一的方案分成两个或多个精致的方案。 这个主意是每一个精致的情景捕捉只覆盖原始的方案，但每个可以部署在不同的信道上的攻击的子集。 显然，攻击检测到的所有优化方案的联合已涵盖完全相同的一组袭击的原始方案一样。 这可以通过创建对特定属性的一个或多个基本事件附加约束。 每个约束限制的攻击一个精致的方案可以检测到的数目。 约束必须可供选择的方式，这样的某些属性 （原始方案） 的每个可能值允许的方案中至少一个精致的约束。 然后所有改进方案，每套仅子集的原始攻击、 有能力的检测与原始相同的攻击的一组。 一个简单的机制，以特定的应用场景进行分区是事件的包含对每个基本，它表示由攻击者发送的数据包的目标属性约束。 其中一个已分区的可能的目标集，以便每个精致的方案只限于某一范围的主机攻击。 当这些目标主机范围联盟涵盖所有可能的攻击目标时，能够找到在相同的攻击，如原方案的优化方案的一组。 一种单一的情况会导致转发到单个通道太多通信时需要此方法。 此外，能显然无辜或敌对的帧筛选之前方案子句的应用： 从而消除交通需要任何进一步的处理。 这可用于，为例防止系统产生交通具有独特的、 已知签名的分布式 DoS 奴隶从数据包被淹。 散射 /slicer/reassembler 体系结构的有效性实验是在使用三个交通 slicers 和四流 reassemblers 流有利结果与每一个入侵检测传感器与系统计算的。 8，可以找到这些试验的详细信息。 三、 高度可配置的入侵检测传感器任何监测和监控的功能之上执行的监视网络传感器的分析。 入侵检测社区已开发了许多不同的系统，在特定的域 （例如，主机或网络） 和特定环境 (例如，Solaris 或 Windows NT） 执行入侵检测。 这些工具患两个主要限制： ad hoc 对于某些类型的域和/或环境，开发出来，并且他们难以配置、 扩展，和远程控制。 在特定情况下的基于签名的入侵检测系统 9 12 传感器均设有若干个匹配的传入的事件流的签名。 大多数系统 (e.g.9) 在启动时进行了初始化签名的一组。 更新签名集要求停止传感器、 更新该签名组，然后重新启动执行。 某些工具提供一种方法，用于启用/禁用某些可用的签名，但一些系统允许新的签名，在执行时动态加入。 此外，现有工具的 ad hoc 本质不允许一个动态配置正在运行的传感器，以便新的事件流，可用作输入安全分析。 现有工具的另一个限制是响应的相对静态配置。 是这样做的签名，通常就可以选择只从可能的响应的特定子集。 我们的知识之外没有系统允许将与攻击的中间步骤关联的响应。 这是特别是在进行长时间跨度上的分布式攻击的情况下的一个严重限制。 此外，现有工具的配置主要被执行手动并在一个很低的水平。 此任务是特别易于出现错误，尤其是如果入侵检测传感器在非常异构环境非常不同的配置与部署。 挑战在于确定一个或多个传感器的当前配置是否有效或重新配置是否有意义。 我们开发了分布式的入侵检测的新方法。 这个主意是受保护的网络进行检测与web 的传感器的本地通信与控制基础设施集成的分布式组件组成。 传感器网络的任务是提供受保护的网络内的细粒度监测。 传感器的 web 实现本地监控针对外部的攻击和来自内部的本地滥用的是主流的做法相辅相成的其中一个单点访问 （例如，网关） 监视可能的恶意活动的方式。 通过大量的metasensor组件收集传感器的警报，形式的输出。 每个 metasensor 负责，部署的传感器的子集，并可能协调其活动的其他 metasensors。 在 metasensors 负责存储该路由警报，其它传感器和 metasensors (例如，执行关联到确定复合攻击方案)，以及充分发挥托管传感器控制的警报。 控件是最具挑战性的 （和最被忽略的） 的分布式监测功能。 大多数现有方法只是聚合的分布式传感器的输出和主要侧重于直观表示法的网络安全人员的警报。 这是不足够的。 有无法检测到的精细粒度的控制方案的部署的传感器的需要，对受保护的网络传感器的定制和动态类型的响应的控制。 这些都是只有监视网络传感器是高度可配置并且配置执行动态，不会停止并重新启动传感器，当需要时重新配置可满足的要求。 我们设计了一套高度可配置监视网络传感器和一个命令和控制允许网络安全人员发挥一个很细粒度控制部署的监测基础结构的 metasensor。 Metasensors 可以将分层组织，以便实现的可扩展性和可复制到支持容错。 此网站的传感器是围绕开发的可靠的软件集团，在 UCSB 的国家转型分析技术 （STAT） 框架。 STAT 框架提供了一个平台，在不同的域和环境中的高度可配置探测器的发展。 STAT 方法围绕五个关键概念： STAT 技术、 STATL 语言、 STAT 核心，在 CommSTAT 通信基础中的结构和控制系统的 MetaSTAT。 该方法提供了基本的机制，重新配置运行库、 哪些输入的事件流按每个传感器分析、 要用于该的分析有哪些方案和的响应类型必须是在检测过程的每个阶段进行。 此外，方法显式模型，以便它可以自动确定执行重新部署的传感基础结构的配置所需的步骤组成一个传感器模块之间的依赖关系。 此外，从遥感器中检索当前配置的可能性可以确定一个重新配置是否有效或有意义。 A.STAT 框架STAT 的框架是进化的原始 STAT 技术及其在 UNIX 系统 13 结果 15 到 16 STAT 基于入侵检测传感器的发展的一般框架。 1） STAT 技术： 激活剂是一种技术为代表的计算机攻击高级说明。 攻击方案被提取到其中介绍了安全状态的一种系统和模型演变状态之间的过渡的状态。 通过从特定漏洞的详细信息的提取和建模仅将关键事件涉及攻击方案中的，STAT 是模型整个类的攻击与一个单一的方案能够克服的一些限制的平原基于签名的误用检测系统 17。 2） STATL 语言： STATL 是一支伸缩语言 18，用来表示 STAT 攻击方案。 语言定义的 STAT 技术独立于域的功能。 STATL 语言可以表达的一种特定的域和环境特征进行扩展。 扩展过程包括特定于特定域或环境正在处理的事件的集和对这些事件的新谓词的定义的定义。 例如延长应对事件产生的 Apache Web 浏览器的 STATL，一会定义表示应用程序日志中的条目的一个或多个事件。 在这种情况下一个事件会有字段主机、 ident、 authuser、 日期、 请求，状态和字节定义通过 Apache 的常见日志格式 (新) 19。 后有定义新的事件可能有必要在这些事件上指定特定谓词。 为例谓词 isCGIrequest () 将返回 true，如果事件是 CGI 脚本的请求。 事件和谓词定义分为不同的语言扩展。 一旦设置和相关联的事件定义谓词的语言扩展，就可以通过 STATL 使用关键字，包括他们在 STATL 方案说明中使用它们。 大量的扩展名的 TCP/IP 网络，孙 BSM 审计记录 20，并已开发 Windows NT 事件日志。 STATL 方案匹配的事件流由 STAT （如下所述） 的核心。 为了有由 STAT 核心方案有必要将它编译到一个方案插件这是一个共享的 library(e.g., a. 这么库在 UNIX 或 DLL 库在 Windows 中的）。 此外，必须将每个由该方案中使用的语言扩展编译成一个也是一个共享的库的扩展模块。 STATL 方案和语言扩展在转换为 C + + 代码和 STAT 开发工具编译为库。 3） STAT 核心： The STAT 核心是的 STATL 语言运行库。 STAT 核心实现的 STATL，独立于主-做的特性，如状态、 过渡、 计时器，概念匹配的事件，等。 在运行时，STAT 核心通过匹配的事件数个方案插件针对一个传入的流执行实际的入侵检测分析过程。 STAT 核心正在运行的实例动态扩展生成基于 STAT 的传感器。 21，可以找到此过程的详细信息。 4） CommSTAT 通信基础结构： 基于 STAT 的传感器由一个通信基础-结构，可以交换警告消息，并以安全的方式控制指令传感器连接。 STAT 控制消息用于管理和更新的基于 STAT 的传感器配置。 例如邮件可用于运送到远程传感器方案插件，并将它加载到核心。 又如在基础结构支持管理语言扩展和其他模块的信息。 CommSTAT 通信基础结构中的参与被介导 CommSTAT 代理，用于执行邮件和控制指令的预处理和支持不基于 STAT 框架的第三方工具的集成。 5） metaSTAT 控制基础设施： The CommSTAT 通信基础设施由 MetaSTAT 组件用来对一组传感器的控制。 MetaSTAT 组件负责下列任务。 收集和存储托管传感器产生的警报。 在关系数据库中存储 IDMEF 警报。 开发一个架构，使其有效地存储和检索 IDMEF 警报和已实施一个图形用户界面，用于查询和显示的存储警报。 路由警报 STAT 传感器和其他 MetaSTAT 的实例。 metaSTAT 组件和 STAT 基于传感器可以订阅特定警报。 通过适当的通信-STAT 沟通渠道，符合订阅警报进行路由。 保持可用模块和相对的依赖项的数据库。 MetaSTAT 的每个组件都与模块数据库已编译的情况下插件、 语言的模块和其他模块的关联。 为每个模块，该数据库存储于其他模块和模块可能要进行部署的操作环境的依赖项。 这些依赖项是 STAT 方法的一种新型环和中 21 详细描述。 维护当前传感器配置的数据库。 MetaSTAT 管理包含当前组件的活动或安装在每个基于 STAT 传感器传感器数据库。 此种特权的传感器的已部署视图是 web 的用于控制传感器和规划重新配置监视基础结构的基础。 22 详细描述了数据库的结构。 基于 STAT 的框架已被利用来实现一个高度可配置网络的传感器由一个称为 MetaSTAT 的 metasensor 组件控制。 在架构的灵活性允许入侵检测管理员执行复杂的重新配置任务。 此外，通过显式建模模块之间的依赖关系就有可能从高层规范自动生成有效的部署计划。 传感器网基于 STAT 的做法，但它已设计为开放。 很容易可以通过 CommSTAT 代理集成第三方 IDS 模块。 外部组件的集成仅限于交换的警报，如果基元的传感器的动态配置不可用。 在 STAT 工具 23 28 和 MetaSTAT 的基础结构 29 在评价的努力如麻省理工学院/林肯实验室评估和空军罗马实验室评估 30，31，多使用如部门的大挑战问题 (GCP) 和伊技术集成努力 32 的技术集成实验中。 在所有这些非常不同的设置，STAT 工具执行得很好： 以非常有限的开支实时检测攻击。 STAT 框架、 在 MetaSTAT 的基础架构和基于 STAT 的工具是开放源代码和 STAT 网站公开发售。 IV.入侵检测警告关联入侵检测社区已经开发了许多不同的入侵检测系统在特定域 （例如，主机或网络） 在特定环境中 (如，Solaris 或 Windows NT)，和不同级别的抽象 （例如，内核级工具或应用程序级工具） 中执行入侵检测。 如开发的更多的入侵检测系统 （NSOs） 的网络安全人员面临着分析越来越多的警报引起的不同事件流分析的任务。 此外，入侵检测系统也不完善，并且可能会产生误报和 nonrelevant 正值。 nonrelevant 正值是正确地标识一个的攻击的警报，但未能符合其目标的攻击。 为例，攻击可能会行使一个不由被攻击的主机如Code Red蠕虫的攻击 Linux Apache 服务器提供的服务中存在一个漏洞。 虽然实际攻击网工作上见过这种攻击将失败因为 Apache 不容易受到蠕虫利用的漏洞。 显然有需要的工具和技术，允许以聚合、 合并的多个入侵检测系统的输出、 筛选出虚假或不正确的警报 （如Code Red攻击 Apache 安装)，且提供的受保护的网络安全状况，简洁、 高级视图的一个 NSO。 若要问题此研究人员和供应商具有建议警报的关系，需要由入侵检测系统的警报，并生成安全状态下监测网络的紧凑报告一个分析过程。 尽管大量相关方法的提出，但在此过程是什么，或如何对它应该实施和评估上的没有达成共识。 特别是在大多数现有的相关方法操作上只有几个方面进行相关如由一个单一的攻击回应不同的入侵检测系统生成的警报，融合或表示相同的攻击者执行的操作顺序的多步攻击的标识。 此外，相关的工具，并涵盖相关过程的多个方面分析过程的每个组件的成效评估不计算作为一个整体。 这样一来它是不清楚如果和相关过程的不同部分对整体的目标所作出的贡献相关。 1 在线。可用： http:/www。 cs.ucsb。 edu rsg/STAT另一个问题是许多现有方法操作警报流组成的成功攻击检测这一假设下。 遗憾的是，经验显示这一假设是错误的。 入侵检测系统是很吵，并在误报，它们产生不同水平相关性的警报。 作为结果输入警报流的质量差产生负面影响告警关联的成效。 相关过程的主要目标是产生一个简洁网-工作安全相关活动的概述。 此过程包括入侵检测传感器报警转换入侵报告的组件的集合。 因为警报可以引用不同种类的不同级别的粒度的攻击，相关过程不能平等对待所有警报。 相反，有必要提供一组组件，其重点是整体相关任务的不同方面。 我们已经设计并实现一个名为 AlertSTAT，收集由入侵检测传感器的警报中使用 MetaSTAT 基础结构，然后将相关对使用大量不同的组件生成的数据的工具。 某些组件可以对依赖于他们的类型的所有警报操作。 在相关进程的初始和最后阶段使用这些组件。 其他组件使用只有某些类的警报。 这些组件是负责执行任意的警报不能广义的特定的相关任务。 我们推行的相关性工具使用一个由组成的十个不同组件的管道体系结构。 对所有警报执行前两个任务。 在进程启动与转换接收到的进入是理解的所有其他相关组件的标准格式的每个警报的归一化组件。 这是有必要的因为来自不同传感器的警报可以以不同的格式进行编码。 接下来，预处理组件增强规范化的警报，以便将所有必需的警报属性 （例如，开始时间、 结束时间、 源和攻击的目标） 都分配有意义的值。 相关进程的核心由实现对不同的空间和时间属性操作的特定函数的组件组成。 也就是某些组件相关事件发生的时间和 space(e.g., alerts generated on one host within a small time window) 关闭，虽然其他运行时事件表示攻击情形中，要对以上的几个小时，包括警报 (如，代表大型扫描的活动的警报) 不同的主机上生成。 这是自然组合息息相关 (空间和临时） 到反过来用于创建更高级别警报的复合警报的事件。 我们所有的进程的四个相关组件操作单，或密切相关的事件。 融合组件负责结合表示同一攻击实例的独立的检测由不同的入侵检测系统的警报。 验证组件采用一个警报，并确定攻击对应于此警报的成功。 这个主意是对应于失败攻击的警报应该适当的标记，减少他们对相关过程的影响。 线程重建组件结合一系列的警报，请参阅启动对单个目标的单一攻击者的攻击。 攻击会话重建组件将与同一攻击有关的基于主机的警报的基于网络的警报。 我们的过程中，接下来两个组件进行操作涉及不同的主机的可能大量的警报。 焦点识别组件已识别的源或目标的大量攻击主机的任务。 这用来标识 DoS 攻击或端口扫描尝试。 多步相关组件具有标识如岛跳来跳去攻击 （即，攻击，入侵者分解主机，然后用它为据点进行更多攻击） 的常见攻击模式的任务。 这些模式由个别的攻击也可以发生在网络中的不同阶段的序列组成。 在相关进程的最终组件 contextualize 相对于特定目标网络警报。 影响分析组件确定检测到正在进行监测网络的运作和资产的恶意活动针对的攻击的影响。 这种分析的结果由优先级组件