入侵检测技术早在 $01% 年由 5-!8F,"- 提出, 在 之后的 )% 多年中, 入侵检测技术在网络安全领域中 得到了广泛的应用并发挥了重要作用, 出现了著名 的 CJB3;、 A4AC、 KF4AC 和 L:L35<A 等入侵检测系 [$, ] 统 )。 对安全事件的聚合与关联, 实现全网安全事件 的集中和可视化管理, 是目前网络安全领域的研究 热点之一。许多国内外科研机构都致力于这方面的 研究, 并取得了一定的成果。 5>M"-," 提出基于概率
[$] 模型在 !"## 的基础上进行了扩展和开发, 支持多
种告警源和包括 "’%>?、 ,@(&! 等在内的多种告警 格式, 支持安全事件 A 告警的实时采集, 实现多告警 源的实时关联与可视化表示。 图 B 是分布式 &"#0 系统的体系结构, 它可以分 为$ 个部分: 用户界面 ( +C" ) 、 分析工具集 ( #934D;7;
图!
#$%&’$( 采集器控制图
采用 D)?"()& 采集器, 网络安全事件数据可以存 [J] 储在各 952 系统中, 这样可避免像 F9++ 把所有警 报静态地、 集中地存放到一个数据库里, 导致关联时 需要处理海量警报而无法提供实时的在线关联服 务, 而且安全管理员可以订制自己所关心的安全视 图, 包括 9A 地址范围、 警报类型和时间范围, 这样每 个任务仅需要收集与他关心的警报进行关联, 而不 必要处理全部警报。 ! 0 ) 关联子系统 基于因果关系的分析方法通过安全事件的前因 和后果进行事件关联。其主要思想是: 任何一个攻 击都具有前因和后果, 所谓前因就是攻击要实施所
那么我们称警报 > 满足该 果 = > 0 &)4 %(3& ? ! = @ ! , 时间约束。 " 为系统当前时间。 地址约束: 给定一个地址集合 # , 如果 > 0 $.#’/& 那么我们称警报 9A! # 或者 > 0 4&$%(),%(.) 9A! # , > 满足该地址约束。 类型约束: 给定一个类型集合 ! , 如果 > 0 %-B&! 那么我们称警报 > 满足该地址约束。 !, 为了更好地支持关联系统的实时性, 我们基于 开发了 D)?G()& +*&)%$, 图H显 2CDEF 的输出插件, 示了它的控制逻辑。后台进程维护和确保告警池 时间内的 (+"&’% A.."$) 中存放而且仅存放 ( ! $ !! ) 警报, 而 超 出 该 范 围 的 警 报 则 写 入 数 据 库; 查询 ( G..I#B) 控制进程则根据解析出来的命令参数, 决 定如何查找符合约束条件的警报, 图 H 为了简练, 只 对时间约束作判断。
图!
"#$% 体系结构
、 关联子系统 ( 0<1124367<9 ,:E;D;628) 、 在线采 C6747672;) 集器 ( (954792 0<442=6<1) 和数据库 ( F9<G42HI2 J3;2 和 。 ’363J3;2) 用户界面 &K! 用户界面 (+C") 主要是提供关联任务管理和关 联结果展现的功能。通过 +C", 用户可以定制所关 注的 "L 范围、 事件类型等相关安全视图。 — B/$/ —
[$] [)] [.]
/
实时入侵告警关联 (&"#0) 系统
根据上面对目前安全告警关联系统的分析, 我
们提出了一种能够适应大规模网络环境的分布式实 时告警关联系统— — —基于因果关系的实时入侵告警 关联 ( 123456782 7961:;7<9 34216 =<1124367<9, 系统。 &"#0) &"#0 系统模型采用因果关联方法实现告警的关联, 揭示告警信息背后隐藏的攻击场景和攻击意图。该
— $)N$ —
高技术通讯
பைடு நூலகம்
/MMN 年 B/ 月 第 BN 卷 第 B/ 期
因果关联是攻击场景识别方法中研究得最为广 泛的方法。这种方法是建立在下述前提之上的: 大 多数的攻击都不是孤立的, 它们通常是整个攻击过 程中的某一步, 而且通常是上一步攻击为下一步攻 击做 准 备。 !"## 、 %"&#’(& 和 *"+,#- 都 是 基于因果关联技术的系统, 它们之间的区别在于完 成这种思想所使用的描述前因后果的语言不同, 算 法特点不同。由于因果关联方法只需指出单独攻击 的前因后果, 不必事先知道整个攻击过程, 所以不必 手工产生大量的关联规则。同时, 这种方法还能识 别和报告不同攻击组合形成的新攻击过程。但是, 这些系统也存在不足之处: 由于不知道其前因后果, 这些系统处理不了新的攻击; 由于关联时搜索空间 较大, 对计算资源消耗大, 处理时间长, 无法做到分 布式、 实时在线关联。
()%%255%$T//1) , 中央高校基本科研业务费 ()%%036%N%)) 和基础科研项目 ( 5)$)%%2$%2$) 资助。 " 12’ 计划 博士生; 研究方向: 下一代互联网关键技术; 联系人, $0(0 年生, L.I?#>:>#-PQR @GS9-89 & 8!G& =! 男, (收稿日期: )%%1.$%.%0)
%
引 言
$
目前研究现状
入侵检测系统 ( #-9FG,#"- !898=9#"- ,H,98I, 是 4AC) 一种网络主动防御手段, 它可以识别入侵者及入侵 行为, 检测和监视已成功的入侵, 并进行入侵响应。 当前主要有两种入侵检测方法: 异常检测 ( ?-"I?>H 和误用检测 ( I#,G,8 !898=9#"-) 。前者 根 据 !898=9#"-) 建立好的正常行为规则来判断用户是否偏离或者违 反其正常规律, 而后者则通过攻击模式、 攻击签名的 形式表达入侵行为。这两种类型的 4AC 从底层单一 的安全事件或者用户行为入手, 分析和检测网络上 恶意的攻击或者异常的行为, 在一定程度上解决了 网络的安全问题。但是它们都是针对独立的、 单个 安全事件而言, 而忽略了这些告警信息背后所蕴藏 的内在联系。通常, 恶意的网络攻击时正常的网络 流量和网络事件混合在一起, 而且大量的网络告警 信息使得管理人员很难在短时间内很好地掌握网络 安全状况并且做出适当的响应。为了解决上述问 题, 我们提出了一种基于因果关系的公布式实时入 侵告警关联 (F8?>.9#I8 #-9FG,#"- ?>8F9 ="FF8>?9#"-, 3456) 方法。该方法通过对来自于不同类型的 4AC 和其他 安全设备所产生的报警进行聚合与关联, 可以实现 全网安全事件的融合, 揭露真实的攻击场景和攻击 意图, 为网络安全管理员提供更简洁的、 更直观的安 全信息。
摘
要
针对大规模网络环境下海量告警信息的重复性、 不完整和不可管理给网络安全
管理带来的新的挑战, 提出了一种基于因果关系的实时入侵告警关联 ( 3456) 系统, 以解 决海量告警的实时关联和可视化管理问题。此 3456 系统利用分布式 578-9 实时地捕获 和预处理告警信息, 然后由因果关联引擎对其进行分析和处理, 从而揭示告警信息背后隐 藏的攻击场景和攻击意图。使用 :4; <#-=">- <?@ 提供的攻击场景数据集 <<ABC$ & % 和真 实 4DE2 数据集对该 3456 系统进行了测试, 实验结果验证了其有效性和实时性。 关键词 网络安全,入侵检测,告警关联,攻击场景
[’] 聚类技术的分析方法 , 该方法是通过计算网络安
全信息 (告警) 之间的相似度, 进而决定新产生的告 警的聚类归属。 5>M"-," 通过手工定义的属性相似 概率矩阵和函数来计算属性相似度, 通过对多属性 相似度做加权平均来计算网络安全信息间的整体相 似度。这种方法在一定程度上能够对告警信息进行 聚类和关联, 但它不能揭示告警信息之间的关系。 C98E8- 等提出了一种基于专家系统的攻击场景 [/] 识别技术 。其主要思想是将攻击场景描述为一系 列模块, 每个模块描述了一个攻击场景, 攻击场景可 以由一系列攻击子场景和攻击事件组成, 当攻击子 场景或者事件满足一定约束条件时, 则认为发生了 特定的攻击场景。这种方法可以识别出已知的攻击 场景, 但对未知的攻击场景无能为力。
高技术通讯 )%%0 年 第 $0 卷 第 $) 期: $)N$ O $)N(
!"#: $% & ’(() * +& #,,-& $%%).%/(% & )%%0 & $) & %%1
基于因果关系的实时告警关联系统 !
林昭文! 黄小红 苏玉洁 马 严
(北京邮电大学计算机科学与技术学院 北京 $%%1(2)
高技术通讯
DFFG 年 CD 月 第 CG 卷 第 CD 期 而得到相关的因果关系。 图 ? 给出了告警处理与存储流程, 其中采用了 图 A 的数据结构, 这样能确保每个超级告警根据超 级告 警 23 和 断 言 ( =+%B81!/%) 进 行 快 速 索 引, 而且 ( =+%B8!1/%) 结构中实际上已经得出超级告警之 (1$@ 间的因果关系。例如我们从哈希表的头部开始, 可 以得到 =+%+%&’8$8/% (-) 对应的超级告警 -*C , …, -*D , 和 6"#$%&’%#!% (-) 对应的超级告警 -!C , …, -!D , -*#, 从而可以得出图 E 所示的因果关系, 遍历 (1$@ -!#, ( =+%B8!1/%) 表可以得到完整的因果关系图。
![一种自动生成告警关联规则的方法及系统[发明专利]](https://img.taocdn.com/s1/m/3dbda3579a6648d7c1c708a1284ac850ad0204f0.png)
