网站大量收购闲置独家精品文档,联系QQ:2885784924

基于IDS报警信息源入侵检测.docVIP

  1. 1、本文档共15页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  5. 5、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  6. 6、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  7. 7、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  8. 8、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多
基于IDS报警信息源入侵检测

基于IDS报警信息源入侵检测   摘要:对入侵检测系统产生的报警信息进行二次分析已经成为改善入侵检测系统检测性能的一个重要的、实际可行的手段。在对入侵检测系统报警信息进行分析的基础上,提出了全面对报警信息进行根源分析和关联分析的框架,并给出了具体实现方法。实验结果证实了该方法的有效性。   关键词:入侵检测; 检测率; 根源分析; 关联分析   中图法分类号:TP393.08文献标识码:A   文章编号:1001-3695(2007)01-0161-03      入侵检测[1,2]是当前网络安全研究的一个热点和难点问题,提高入侵检测的检测率是众多研究者共同追求的目标。目前的入侵检测系统(Intrusion Detection System, IDS)一般采用误用检测方法和异常检测方法[1,2],但这两种方法均具有不可克服的缺点:误用检测方法误报警多,异常检测方法漏报警多。在实际中,这两种方法互为补充。随着网络安全问题的日益严峻,大量的研究工作者投入到了入侵检测的研究工作中,但由于入侵行为的不可判定性,目前还没有一种实用、有效的方法能完全解决入侵检测误报警和漏报警问题。??   针对主机数据源和网络数据源的误用检测方法和异常检测方法均具有一定的局限性,许多研究者[3]转而对IDS产生的报警信息进行分析,试图解决IDS的误报警和漏报警问题,以提高报警信息的理解力。但是,这些方法仍然具有一定的局限性,如分析深度不够、分析不够全面和系统难以配置等。??   本文提出一种根据IDS报警信息特征进行全面分析的方法:对系统原因产生的报警信息进行根源分析,对入侵行为产生的报警信息进行关联分析,该方法克服了以上方法的不足。??      1IDS报警信息入侵检测的原理性探索??      1.1IDS报警信息分析??   由于当前IDS系统的缺陷,导致实际网络中配置的IDS每天产生的报警信息成千上万,人力根本无法处理。我们通过对大量IDS报警信息进行分析,认为IDS报警信息的产生来自两个方面:①由于系统状态与报警规则匹配,尽管该状态是系统正常状态;②IDS发现了入侵者的入侵行为。针对这些报警信息,我们总结了如下六个特征:   ①大量的报警信息为误报警信息。据统计,其中大约有99%的误报警信息。   ②大量的报警信息由少数几个报警根源产生。也就是说,大量的报警信息为重复报警信息,由同一个系统根源产生。   ③属于同一个报警根源产生的报警信息有一定的报警模式。也就是说,这些报警信息经过处理,可用一个模式表达。   ④报警信息根源暴露在大报警组中,泛化的报警可模型化报警组。也就是说,从大量的报警信息可分析产生报警信息的根源,同时可以采用泛化的报警信息表示这些大量的报警信息,但不影响对报警信息的理解。   ⑤消除报警根源或过滤报警信息可大大减少报警信息量。   ⑥属于一次完整攻击所产生的报警信息之间具有一定的因果关系。这是由于攻击一般是一次有计划的活动,该活动具有一定的目的性,所采取的行动一般经历踩点、扫描、查点、渗透、提升权限、偷窃、消除痕迹和安装后门八大步骤,这些步骤之间是串联关系,即入侵是否可行是有一定前提的,只有前提满足,入侵行为才可能发生。??   1.2IDS报警信息入侵检测方法探索??   IDS报警信息中,大量的报警信息仅由少数几个报警根源产生,这些报警根源可识别和消除;由入侵过程产生的报警信息可因果关联。因此,对报警信息我们可以采取如下两个步骤:   ①对报警信息进行根源分析,去掉大部分误报警、重复报警信息,减少报警信息量;   ②对报警信息进行因果关联分析,识别入侵场景,增强对报警信息的理解。??   其中步骤②进行因果关联分析简单,只需要掌握入侵的前提和结果,方法的关键是识别报警信息的根源。??   我们知道,数据挖掘(Data Mining)[4]是从大量不完全、有噪声、模糊、随机的数据中,提取隐含在其中、人们事先不知道、但又是潜在有用的信息和知识的过程。数据挖掘的发现工具和方法,常用的有分类、聚类、模式识别、可视化、决策树、遗传算法和不确定性处理等,这些方法在入侵检测中已经得到了广泛的应用。例如,Manganaris等人[5]采用数据挖掘技术对入侵检测系统产生的报警信息进行分析处理,构建两级异常检测系统,丢弃正常报警数据,从而减轻管理员处理报警信息的负担;Clifton等人[6]采用数据挖掘技术,从历史报警数据库中挖掘场景规则,然后根据这些场景规则构建入侵报警信息的过滤规则,根据这些过滤规则,可以自动丢弃明显是误报警的信息,但是,Clifton等人几乎没有给出任何实验以证实其方法的有效性。??   聚类(Clustering)[4]是一种数据挖掘方法,它将数据对象分组为多

文档评论(0)

317960162 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档