0 引言

    入侵檢測作為一種重要的網(wǎng)絡(luò)安全防護(hù)技術(shù)，由ANDERSON J P^[1]在1980年首次提出，經(jīng)過幾十年的發(fā)展，在入侵檢測系統(tǒng)模型構(gòu)建^[2]、檢測數(shù)據(jù)集獲取^[3]、檢測方法創(chuàng)新^[4-6]等方面取得了豐碩的成果，已廣泛應(yīng)用于物聯(lián)網(wǎng)^[7]和智慧城市^[8]等多種應(yīng)用場景。然而隨著網(wǎng)絡(luò)承載帶寬流量日益增多，人工分析海量告警日志信息已難以滿足日常需求，開發(fā)基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)逐漸成為主流^[9]。入侵檢測系統(tǒng)的基本原理就是將獲取的數(shù)據(jù)經(jīng)過處理后，與之前設(shè)好的規(guī)則進(jìn)行匹配，從而判斷是否為攻擊或入侵^[10-11]。根據(jù)入侵檢測的原理，系統(tǒng)需要獲取足夠多的數(shù)據(jù)，才能更準(zhǔn)確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網(wǎng)絡(luò)中大規(guī)模的安全數(shù)據(jù)，學(xué)者們開始研究數(shù)據(jù)挖掘技術(shù)，王洋等^[12]利用貝葉斯攻擊圖模型從大規(guī)模流量中識別異常告警，通過告警關(guān)聯(lián)識別攻擊者的意圖。李祉岐等^[13]對現(xiàn)有告警融合和關(guān)聯(lián)分析方法進(jìn)行了綜合分析，提出了基于告警關(guān)聯(lián)的入侵檢測體系架構(gòu)以及應(yīng)用準(zhǔn)則。胡浩等^[14]利用吸收Markov鏈模擬攻擊者的入侵行為，解決了用攻擊圖對攻擊路徑進(jìn)行仿真時(shí)存在的狀態(tài)爆炸問題，有效提升入侵路徑識別的精度。

    Snort是美國Sourcefire公司發(fā)布的開源入侵檢測軟件，提供規(guī)范化的接口便于用戶對Snort進(jìn)行擴(kuò)充與改進(jìn)，因此研究人員選擇在Snort基礎(chǔ)上進(jìn)行研發(fā)或?qū)ζ溥M(jìn)行進(jìn)一步的功能擴(kuò)充，以實(shí)現(xiàn)從大量日志信息中，快速、有效找到網(wǎng)絡(luò)流規(guī)律及數(shù)據(jù)信息之間的聯(lián)系，發(fā)現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)流的特征信息，提升漏告警和誤告警場景中的檢測完備性。告警關(guān)聯(lián)規(guī)則挖掘是入侵檢測的重點(diǎn)環(huán)節(jié)之一，HU H^[15]等認(rèn)為同一攻擊過程中的各個(gè)攻擊步驟以較高的概率在一個(gè)時(shí)間窗口內(nèi)發(fā)生，因而同一攻擊過程產(chǎn)生的告警在統(tǒng)計(jì)上具有相似性，因此提出了基于統(tǒng)計(jì)時(shí)序的告警關(guān)聯(lián)方法，通過計(jì)算告警序列之間的因果關(guān)聯(lián)指數(shù)來判斷告警是否具有關(guān)聯(lián)關(guān)系。上述方法不依賴領(lǐng)域知識，但存在計(jì)算量大、參數(shù)配置復(fù)雜等不足。

    針對上述問題，本文以Snort為基礎(chǔ)，設(shè)計(jì)實(shí)現(xiàn)了能夠從大量日志信息中發(fā)現(xiàn)網(wǎng)絡(luò)中攻擊與入侵?jǐn)?shù)據(jù)流間隱藏關(guān)系的入侵檢測系統(tǒng)。本文提出的方法能有效融合告警信息，識別入侵過程，幫助管理人員掌握網(wǎng)絡(luò)安全狀況，輔助指導(dǎo)風(fēng)險(xiǎn)評估和入侵響應(yīng)等后續(xù)過程。

本文詳細(xì)內(nèi)容請下載：http://ihrv.cn/resource/share/2000003057

作者信息：

劉金龍1，劉  鵬1，裴  帥2，田  沖2

(1.海軍參謀部，北京100841；2.信息產(chǎn)業(yè)信息安全測評中心，北京100083)