本文提出了一種基于入侵行為模式的告警關(guān)聯(lián)方式。入侵行為模式是定義在時間
基礎(chǔ)上的一組謂詞公式，其實(shí)質(zhì)是通過時間限制聯(lián)系在一起的入侵事件的集合。該方法在對大量告警進(jìn)行關(guān)聯(lián)的同時，對虛警的處理尤為有效。
根據(jù)檢測引擎的實(shí)現(xiàn)技術(shù)，入侵檢測系統(tǒng)（IDS）可分為 “基于誤用”和“基于異常”
兩類。由于每類IDS 都有其自身無法克服的缺陷，因此目前傾向于在網(wǎng)絡(luò)環(huán)境下安裝多個IDS，這些IDS 可能采用基于誤用的也可能采用基于異常的檢測方式。但大多數(shù)IDS 只是對簡單攻擊或異常進(jìn)行檢測，它們除了產(chǎn)生大量的告警以外并沒有做任何更深入的工作。準(zhǔn)確的告警和誤警常?；旌显谝黄稹Ｔ趶?fù)雜攻擊的情況下告警之間可能存在某種聯(lián)系，而這些IDS 卻不能發(fā)現(xiàn)這些攻擊之間的邏輯關(guān)系，也不能發(fā)現(xiàn)隱藏在這些告警背后的攻擊策略，它們只是產(chǎn)生相對獨(dú)立的告警。為解決這個問題，通常需要對各IDS 的告警進(jìn)行聚類和關(guān)聯(lián)。
與入侵檢測一樣，告警關(guān)聯(lián)的方法也分兩類：基于異常的告警關(guān)聯(lián)與基于誤用。前者的
典型代表是基于相似概率的告警關(guān)聯(lián)[1]，此種方法是基于告警之間的相似度進(jìn)行告警關(guān)聯(lián)，雖然該方法在關(guān)聯(lián)某些告警信息時很有效，但相似度的衡量及取值比較困難，不能完全揭示相關(guān)告警之間的關(guān)系。后一種方法的代表是基于攻擊的前提和結(jié)果[2]，這種方法是從攻擊的角度分析攻擊的前提條件及結(jié)果，如果一個早期攻擊的結(jié)果滿足一個較晚攻擊的前提條件，就可以關(guān)聯(lián)這些攻擊的告警信息。這種方法有一定的靈活性，對發(fā)現(xiàn)隱藏在告警序列背后的攻擊策略非常有效，但面臨定義攻擊前提和結(jié)果的難題，且難于把握告警之間的時間限制，此外對虛警的處理很不理想。本文介紹了我們在分布式協(xié)同入侵檢測系統(tǒng)（DACIDS）[3]中使用的另一種基于誤用的告警關(guān)聯(lián)方法，該方法定義了一種基于時間的入侵行為模式[4]，通過對模式的識別進(jìn)行告警關(guān)聯(lián)。這種方法有效解決了告警之間的時間限制的定義，而且在對大量告警進(jìn)行關(guān)聯(lián)的同時，對減少告警數(shù)量以及對虛警的處理方面尤為有效。
本文第1 節(jié)對入侵行為模式給出定義，第2 節(jié)詳細(xì)描述了對入侵行為模式的匹配算法，
第3 節(jié)概述了DACIDS 中使用的告警信息關(guān)聯(lián)模型，最后給出了后續(xù)工作內(nèi)容并加以小結(jié)。