本文提出了一種基于入侵行為模式的告警關(guān)聯(lián)方式。入侵行為模式是定義在時(shí)間
基礎(chǔ)上的一組謂詞公式，其實(shí)質(zhì)是通過(guò)時(shí)間限制聯(lián)系在一起的入侵事件的集合。該方法在對(duì)大量告警進(jìn)行關(guān)聯(lián)的同時(shí)，對(duì)虛警的處理尤為有效。
根據(jù)檢測(cè)引擎的實(shí)現(xiàn)技術(shù)，入侵檢測(cè)系統(tǒng)（IDS）可分為 “基于誤用”和“基于異?！?BR>兩類(lèi)。由于每類(lèi)IDS 都有其自身無(wú)法克服的缺陷，因此目前傾向于在網(wǎng)絡(luò)環(huán)境下安裝多個(gè)IDS，這些IDS 可能采用基于誤用的也可能采用基于異常的檢測(cè)方式。但大多數(shù)IDS 只是對(duì)簡(jiǎn)單攻擊或異常進(jìn)行檢測(cè)，它們除了產(chǎn)生大量的告警以外并沒(méi)有做任何更深入的工作。準(zhǔn)確的告警和誤警常?；旌显谝黄稹Ｔ趶?fù)雜攻擊的情況下告警之間可能存在某種聯(lián)系，而這些IDS 卻不能發(fā)現(xiàn)這些攻擊之間的邏輯關(guān)系，也不能發(fā)現(xiàn)隱藏在這些告警背后的攻擊策略，它們只是產(chǎn)生相對(duì)獨(dú)立的告警。為解決這個(gè)問(wèn)題，通常需要對(duì)各IDS 的告警進(jìn)行聚類(lèi)和關(guān)聯(lián)。
與入侵檢測(cè)一樣，告警關(guān)聯(lián)的方法也分兩類(lèi)：基于異常的告警關(guān)聯(lián)與基于誤用。前者的
典型代表是基于相似概率的告警關(guān)聯(lián)[1]，此種方法是基于告警之間的相似度進(jìn)行告警關(guān)聯(lián)，雖然該方法在關(guān)聯(lián)某些告警信息時(shí)很有效，但相似度的衡量及取值比較困難，不能完全揭示相關(guān)告警之間的關(guān)系。后一種方法的代表是基于攻擊的前提和結(jié)果[2]，這種方法是從攻擊的角度分析攻擊的前提條件及結(jié)果，如果一個(gè)早期攻擊的結(jié)果滿(mǎn)足一個(gè)較晚攻擊的前提條件，就可以關(guān)聯(lián)這些攻擊的告警信息。這種方法有一定的靈活性，對(duì)發(fā)現(xiàn)隱藏在告警序列背后的攻擊策略非常有效，但面臨定義攻擊前提和結(jié)果的難題，且難于把握告警之間的時(shí)間限制，此外對(duì)虛警的處理很不理想。本文介紹了我們?cè)诜植际絽f(xié)同入侵檢測(cè)系統(tǒng)（DACIDS）[3]中使用的另一種基于誤用的告警關(guān)聯(lián)方法，該方法定義了一種基于時(shí)間的入侵行為模式[4]，通過(guò)對(duì)模式的識(shí)別進(jìn)行告警關(guān)聯(lián)。這種方法有效解決了告警之間的時(shí)間限制的定義，而且在對(duì)大量告警進(jìn)行關(guān)聯(lián)的同時(shí)，對(duì)減少告警數(shù)量以及對(duì)虛警的處理方面尤為有效。
本文第1 節(jié)對(duì)入侵行為模式給出定義，第2 節(jié)詳細(xì)描述了對(duì)入侵行為模式的匹配算法，
第3 節(jié)概述了DACIDS 中使用的告警信息關(guān)聯(lián)模型，最后給出了后續(xù)工作內(nèi)容并加以小結(jié)。