入侵检测系统的警报关联与验证

【摘要】： 入侵检测系统(IDS)作为一个重要的安全防御系统,它检测入侵行为并通过警报的形式警示入侵行为。然而,入侵检测系统产生的警报并不是完全正确的,实际上其中有很大一部分警报是无用的错误警报。管理员在处理警报阶段,在处理无用的错误警报上白白浪费了大量的时间和劳动力。对于入侵检测系统产生的正确警报,也是分散、无序的警报,管理员很难直接从正确警报中直接看出遭受的入侵行为。基于这个现状,将分散、独立、无序或错误的警报,转变成为经整理的、有效性高的信息,是入侵检测系统需要的一个很大改进。为实现此功能,业界存在的解决方案是将警报进行关联和验证进行有效的结合从而达到消除误报。关联为将相似性较高的警报结合在一起,从而提高警报的有序性和关联性。验证是去除虚假、错误的警报,是安全管理系统中的一个重要环节。 本文首先基于现有的安全需求CIA(Confidentiality-Integrity-Availability)基础之上,以Del-yao攻击者模型作为参照,对现有的网络上的威胁和风险进行了调查和研究。本研究课题成功地收集和整理已有的计算机安全需求、黑客攻击技术、警报关联和验证技术。本文的主要工作是在现有的入侵检测系统之上,为入侵检测系统设计警报的关联和验证。警报关联验证的主要目的是减少入侵检测系统产生的错误警报和将正确的警报进行关联。并将异常检测、漏洞核查、警报信息确认等技术引入到警报的关联与验证中。在本文提出的设计中,一个瀑布型的流程架构被引入从而将各个警报验证和关联技术进行有效的结合,取长补短地发挥各自的优势和弥补各自的缺点。在框架决定后,框架中涉及的方法也在论文中得到实现。最后,为验证本设计的工作效率,在本文的最后部分会模拟若干网络攻击,验证经改进的入侵检测系统的警报的正确率。 以往的入侵检测系统的警报优化方法大部分是集中在将一门技术进行深入研究和优化,从而去除单一技术上的缺点并强化其优点。而本设计采取将业界若干优良的技术进行优化整合的方法,通过优势互补的思想改进业界现有方法的不足之处。经过分析测试和验证,通过数据表明本设计有效地去除误报警报,通过关联推断漏报警报。本设计有效地提高了入侵检测系统警报的正确率,对管理员分析入侵行为时提供了更简洁、直观、系统的信息。

【学位授予单位】：山东大学
【学位级别】：硕士
【学位授予年份】：2009
【分类号】：TP393.08