互联网的发展为全球范围内实现高效的资源和信息共享提供了方便,同时也对网络安全防护提出了新的挑战。日益复杂的网络系统结构,广泛采用的分布式应用环境,海量存储和高带宽的传输技术,都使得集中式的入侵检测技术越来越不能满足网络的安全需求。因此,研究基于大规模网络的分布式IDS的关键技术成为当前IDS研究的前沿课题。 入侵检测信息共享、报警信息融合是基于IDS的网络安全预警系统研究的核心问题,是对网络入侵分析、预警、反击的基础。在网络安全防护体系指导下,本文紧紧围绕基于IDS的网络安全预警系统中报警信息交换通用格式、报警信息融合等关键技术,开展研究与实现工作,本文所做的工作主要集中在: 1.统一报警信息格式提案。针对国内外IDS产品入侵检测信息纷杂的现状,探讨了标准化报警信息格式的要求,详细分析了入侵报警所要表达的具体内容;在此基础上提出并采用Schema(模式)对报警信息建模的思想,完成了AISM(报警信息模式模型)的构建,同时对该模型进行了优化,最终形成统一报警信息格式提案;选择可扩展标记语言XML实现了该提案并通过XML Schema的有效性验证,使得不同IDS产品之间、IDS与其它安全设备之间具备了共享入侵检测信息的能力。 2.报警关联模型的设计。提出五维度报警信息关联定义;按照该定义设计了一个带有实时响应机制的层次化入侵检测报警信息关联模型,该模型能较好地反映关联的推理层次;其中,实时响应机制的引入为快速反应赢得了时间,在关联过程中加入验证动作能有效地去除误报警。 3.报警关联的设计与实现。在报警信息归并层,设计并实现了按粒度划分顺序实施归并的方法,在有效精简报警数量的同时提高了归并效率;在报警信息融合层,根据所设计的基于规则推理的因果关系报警信息融合方法,设计并实现了攻击轨迹链生成模型和攻击轨迹链生成算法,较好地解决了误报、漏报等问题;在系统管理界面层,设计了三种融合输出视图,为管理者综合更大范围的报警信息,进行更高层次的分析推理提供了方便。 在“十五”863课题“网络入侵检测、预警和安全管理技术(战略预警)”(2001AA142030)的支持下,把入侵检测报警信息交换、报警信息融合等关键技术与课题实践相结合,完成了对预警原型系统中预警代理的安全事件标准化、区域预警中心安全事件的归并和融合,以及分布式安全部件间通信消息编码在预警代理和区域预警中心的应用。为该863项目顺利获得滚动资助打下了坚实的基础。