论文部分内容阅读
互联网的发展为全球范围内实现高效的资源和信息共享提供了方便,同时也对网络安全防护提出了新的挑战。网络入侵检测技术作为一种积极主动的安全防护技术正成为目前网络安全领域中研究的热点。但是当前这些网络入侵检测系统正面临着严重的信任危机,如何有效地降低漏报率和误报率成为入侵检测领域亟待解决的关键问题。 针对当前入侵检测系统普遍存在的告警层次较低,仅能反映简单琐碎的攻击片段等问题,提出了一种基于多种分析方法的,融合了聚类分析和数据挖掘方法来进行宏观分析。 攻击者完成一次复杂的攻击需要进行多个步骤,这些步骤之间会存在一些因果联系,前一步骤是为后一步骤做准备工作,通过对攻击情境建模,便可以在看似差别很大的报警事件间建立起报警关联,将多个报警事件联系起来,从而还原出真实攻击的原貌,达到从大量低层次报警事件中检测出多步骤攻击的目的。本文便是采用这种基于先决条件的关联思想,以着色Petri网(Colored Petri Nets,CPN)为理论背景,发展出一种通过采用CPN建立攻击模板来对攻击情境建模,从而关联多步骤攻击的方法,并用实验证明了以该方法实现的系统的可用性及对不同规模数据的适应性。 系统对告警信息再分析和再组织,消除冗余的信息并组合琐碎的告警事件,从而实现了精简的高层告警视图。试验结果表明,本系统改善了传统IDS检测到异常就立即产生告警的工作模式,最终达到了告警精简、攻击模式发现,分辨攻击轨迹的目的,为进一步研究攻击者的入侵策略、构建攻击场景打下坚实的基础。