0 引言

    入侵檢測(cè)作為一種重要的網(wǎng)絡(luò)安全防護(hù)技術(shù),，由ANDERSON J P^[1]在1980年首次提出，經(jīng)過幾十年的發(fā)展,，在入侵檢測(cè)系統(tǒng)模型構(gòu)建^[2],、檢測(cè)數(shù)據(jù)集獲取^[3]、檢測(cè)方法創(chuàng)新^[4-6]等方面取得了豐碩的成果,，已廣泛應(yīng)用于物聯(lián)網(wǎng)^[7]和智慧城市^[8]等多種應(yīng)用場景。然而隨著網(wǎng)絡(luò)承載帶寬流量日益增多,，人工分析海量告警日志信息已難以滿足日常需求,，開發(fā)基于數(shù)據(jù)挖掘的入侵檢測(cè)系統(tǒng)逐漸成為主流^[9]。入侵檢測(cè)系統(tǒng)的基本原理就是將獲取的數(shù)據(jù)經(jīng)過處理后,，與之前設(shè)好的規(guī)則進(jìn)行匹配,，從而判斷是否為攻擊或入侵^[10-11]。根據(jù)入侵檢測(cè)的原理,，系統(tǒng)需要獲取足夠多的數(shù)據(jù),，才能更準(zhǔn)確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網(wǎng)絡(luò)中大規(guī)模的安全數(shù)據(jù),，學(xué)者們開始研究數(shù)據(jù)挖掘技術(shù),，王洋等^[12]利用貝葉斯攻擊圖模型從大規(guī)模流量中識(shí)別異常告警，通過告警關(guān)聯(lián)識(shí)別攻擊者的意圖,。李祉岐等^[13]對(duì)現(xiàn)有告警融合和關(guān)聯(lián)分析方法進(jìn)行了綜合分析,，提出了基于告警關(guān)聯(lián)的入侵檢測(cè)體系架構(gòu)以及應(yīng)用準(zhǔn)則。胡浩等^[14]利用吸收Markov鏈模擬攻擊者的入侵行為,，解決了用攻擊圖對(duì)攻擊路徑進(jìn)行仿真時(shí)存在的狀態(tài)爆炸問題,，有效提升入侵路徑識(shí)別的精度。

    Snort是美國Sourcefire公司發(fā)布的開源入侵檢測(cè)軟件，提供規(guī)范化的接口便于用戶對(duì)Snort進(jìn)行擴(kuò)充與改進(jìn),，因此研究人員選擇在Snort基礎(chǔ)上進(jìn)行研發(fā)或?qū)ζ溥M(jìn)行進(jìn)一步的功能擴(kuò)充,，以實(shí)現(xiàn)從大量日志信息中，快速,、有效找到網(wǎng)絡(luò)流規(guī)律及數(shù)據(jù)信息之間的聯(lián)系,，發(fā)現(xiàn)異常的網(wǎng)絡(luò)數(shù)據(jù)流的特征信息，提升漏告警和誤告警場景中的檢測(cè)完備性,。告警關(guān)聯(lián)規(guī)則挖掘是入侵檢測(cè)的重點(diǎn)環(huán)節(jié)之一,，HU H^[15]等認(rèn)為同一攻擊過程中的各個(gè)攻擊步驟以較高的概率在一個(gè)時(shí)間窗口內(nèi)發(fā)生，因而同一攻擊過程產(chǎn)生的告警在統(tǒng)計(jì)上具有相似性,，因此提出了基于統(tǒng)計(jì)時(shí)序的告警關(guān)聯(lián)方法,，通過計(jì)算告警序列之間的因果關(guān)聯(lián)指數(shù)來判斷告警是否具有關(guān)聯(lián)關(guān)系。上述方法不依賴領(lǐng)域知識(shí),，但存在計(jì)算量大,、參數(shù)配置復(fù)雜等不足。

    針對(duì)上述問題,，本文以Snort為基礎(chǔ),，設(shè)計(jì)實(shí)現(xiàn)了能夠從大量日志信息中發(fā)現(xiàn)網(wǎng)絡(luò)中攻擊與入侵?jǐn)?shù)據(jù)流間隱藏關(guān)系的入侵檢測(cè)系統(tǒng)。本文提出的方法能有效融合告警信息,，識(shí)別入侵過程,，幫助管理人員掌握網(wǎng)絡(luò)安全狀況，輔助指導(dǎo)風(fēng)險(xiǎn)評(píng)估和入侵響應(yīng)等后續(xù)過程,。

本文詳細(xì)內(nèi)容請(qǐng)下載：http://forexkbc.com/resource/share/2000003057

作者信息：

劉金龍1,，劉  鵬1，裴  帥2,，田  沖2

(1.海軍參謀部,，北京100841；2.信息產(chǎn)業(yè)信息安全測(cè)評(píng)中心,，北京100083)