《電子技術(shù)應用》
您所在的位置:首頁 > 通信與網(wǎng)絡 > 設計應用 > 基于關聯(lián)規(guī)則的網(wǎng)絡異常檢測系統(tǒng)設計與實現(xiàn)
基于關聯(lián)規(guī)則的網(wǎng)絡異常檢測系統(tǒng)設計與實現(xiàn)
2020年信息技術(shù)與網(wǎng)絡安全第11期
劉金龍1,劉 鵬1,裴 帥2,田 沖2
1.海軍參謀部,北京100841;2.信息產(chǎn)業(yè)信息安全測評中心,北京100083
摘要: 入侵檢測技術(shù)是網(wǎng)絡安全防御的核心技術(shù)之一。由于網(wǎng)絡承載的帶寬流量日益增多,入侵檢測系統(tǒng)需要提供快速的檢測能力。Snort入侵檢測系統(tǒng)依靠將抓取的數(shù)據(jù)與規(guī)則匹配來判斷是否受到攻擊,因此規(guī)則的好壞決定了系統(tǒng)性能的高低。結(jié)合數(shù)據(jù)挖掘技術(shù),設計實現(xiàn)一種基于關聯(lián)規(guī)則的關聯(lián)分析器插件來增強Snort對入侵的識別能力。首先利用Apriori對Snort產(chǎn)生的告警日志進行數(shù)據(jù)挖掘,搜索隱藏的攻擊模式;然后,將關聯(lián)規(guī)則轉(zhuǎn)化為相應的Snort規(guī)則。最后,利用SYN Flood攻擊測試規(guī)則增強的Snort系統(tǒng)的性能,結(jié)果表明,改進后的Snort能夠提高對SYN Flood攻擊的檢測效率。
中圖分類號: TP393
文獻標識碼: A
DOI: 10.19358/j.issn.2096-5133.2020.11.003
引用格式: 劉金龍,劉鵬,裴帥,等. 基于關聯(lián)規(guī)則的網(wǎng)絡異常檢測系統(tǒng)設計與實現(xiàn)[J].信息技術(shù)與網(wǎng)絡安全,2020,39(11):14-22.
Design and implementation of network anomaly detection system based on association rules
Liu Jinlong1,Liu Peng1,Pei Shuai2,Tian Chong2
1.Naval Staff,Beijing 100841,China; 2.Information Technology & Security Test and Evaluation Center,Beijing 100083,China
Abstract: Intrusion detection technology is one of the core technologies of network security defense. Due to the increasing network bandwidth traffic, intrusion detection systems need to provide rapid detection capabilities. The Snort intrusion detection system relies on matching the captured data with rules to determine whether the system is under attack, so the quality of the rules determines the performance of the system. This paper combines data mining technology to design and implement an association analyzer plug-in unit based on association rules to enhance Snort to identify intrusions. At first, Apriori is used to mine the alarm logs generated by Snort and search the hidden attack patterns; Furthermore, the association rules are converted into corresponding Snort rules. Finally, the performance of the Snort system is enhanced by using SYN Flood attack test rules. The results show that the improved Snort can improve the detection efficiency of SYN Flood attacks.
Key words : intrusion detection;Snort;association rules;Apriori;SYN Flood

0 引言

    入侵檢測作為一種重要的網(wǎng)絡安全防護技術(shù),由ANDERSON J P[1]在1980年首次提出,經(jīng)過幾十年的發(fā)展,在入侵檢測系統(tǒng)模型構(gòu)建[2]、檢測數(shù)據(jù)集獲取[3]、檢測方法創(chuàng)新[4-6]等方面取得了豐碩的成果,已廣泛應用于物聯(lián)網(wǎng)[7]和智慧城市[8]等多種應用場景。然而隨著網(wǎng)絡承載帶寬流量日益增多,人工分析海量告警日志信息已難以滿足日常需求,開發(fā)基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)逐漸成為主流[9]。入侵檢測系統(tǒng)的基本原理就是將獲取的數(shù)據(jù)經(jīng)過處理后,與之前設好的規(guī)則進行匹配,從而判斷是否為攻擊或入侵[10-11]。根據(jù)入侵檢測的原理,系統(tǒng)需要獲取足夠多的數(shù)據(jù),才能更準確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網(wǎng)絡中大規(guī)模的安全數(shù)據(jù),學者們開始研究數(shù)據(jù)挖掘技術(shù),王洋等[12]利用貝葉斯攻擊圖模型從大規(guī)模流量中識別異常告警,通過告警關聯(lián)識別攻擊者的意圖。李祉岐等[13]對現(xiàn)有告警融合和關聯(lián)分析方法進行了綜合分析,提出了基于告警關聯(lián)的入侵檢測體系架構(gòu)以及應用準則。胡浩等[14]利用吸收Markov鏈模擬攻擊者的入侵行為,解決了用攻擊圖對攻擊路徑進行仿真時存在的狀態(tài)爆炸問題,有效提升入侵路徑識別的精度。

    Snort是美國Sourcefire公司發(fā)布的開源入侵檢測軟件,提供規(guī)范化的接口便于用戶對Snort進行擴充與改進,因此研究人員選擇在Snort基礎上進行研發(fā)或?qū)ζ溥M行進一步的功能擴充,以實現(xiàn)從大量日志信息中,快速、有效找到網(wǎng)絡流規(guī)律及數(shù)據(jù)信息之間的聯(lián)系,發(fā)現(xiàn)異常的網(wǎng)絡數(shù)據(jù)流的特征信息,提升漏告警和誤告警場景中的檢測完備性。告警關聯(lián)規(guī)則挖掘是入侵檢測的重點環(huán)節(jié)之一,HU H[15]等認為同一攻擊過程中的各個攻擊步驟以較高的概率在一個時間窗口內(nèi)發(fā)生,因而同一攻擊過程產(chǎn)生的告警在統(tǒng)計上具有相似性,因此提出了基于統(tǒng)計時序的告警關聯(lián)方法,通過計算告警序列之間的因果關聯(lián)指數(shù)來判斷告警是否具有關聯(lián)關系。上述方法不依賴領域知識,但存在計算量大、參數(shù)配置復雜等不足。

    針對上述問題,本文以Snort為基礎,設計實現(xiàn)了能夠從大量日志信息中發(fā)現(xiàn)網(wǎng)絡中攻擊與入侵數(shù)據(jù)流間隱藏關系的入侵檢測系統(tǒng)。本文提出的方法能有效融合告警信息,識別入侵過程,幫助管理人員掌握網(wǎng)絡安全狀況,輔助指導風險評估和入侵響應等后續(xù)過程。




本文詳細內(nèi)容請下載:http://ihrv.cn/resource/share/2000003057




作者信息:

劉金龍1,劉  鵬1,裴  帥2,田  沖2

(1.海軍參謀部,北京100841;2.信息產(chǎn)業(yè)信息安全測評中心,北京100083)

此內(nèi)容為AET網(wǎng)站原創(chuàng),未經(jīng)授權(quán)禁止轉(zhuǎn)載。