基于警报关联分析的IDS联动中心的设计与原型实现

摘要

防火墙在现在的网络安全中处于非常关键的地位,是内部网络与因特网之间的唯一通道.然而,单个安全产品很难保证网络的安全,因此,防火墙厂商率先提出了联动思想.在各种联动方式的组合中,防火墙与入侵检测系统联动是联动体系中重要的一环,因为这两种技术具有较强的互补性.该文主要概括了目前联动系统的发展状况,提出联动中存在的一些问题,并且针对这些问题,设计并且实现了一个基于警报分析的高效的IDS联动系统原型.经过实验,表明该系统弥补了目前联动中存在的一些缺陷,完全可以实际应用.该IDS联动系统结构简单、设计灵活,分析效率高.该系统中主要需要解决三个难点问题:采用的联动协议的标准性、IDS本身较高的误报率和联动的高效性问题.首先,标准的协议的使用易于实现不同IDS和防火墙的互动协作,而且也易于实现不同IDS之间的互动协作.该系统采用了IAP、IDMEF等一系列的标准协议来消除不同IDS之间的差异,这样对IDS系统的警报可操作性强.其次,由于目前IDS的误报率较高,一方面容易造成防火墙负载过重;另一方面容易造成防火墙采取错误的联动,影响了用户的正常工作.针对这一问题,该系统采取对所有IDS警报的综合分析方法来解决.通过定义知识库,描述警报之间的因果关联性,对与防火墙联动的所有的IDS的警报数据进行因果关联分析,排除警报数据中夹杂的误报,从而降低了IDS的误报率,提高了联动的准确性.最后,由于联动系统需要根据情况及时的采取联动措施,保证联动系统对警报处理的实时性.因此,高效的警报分析速度是关键.该系统构造两级哈希的数据结构高效的处理IDS警报,实时性较强,保证了警报数据的及时有效的处理.

目录

文摘

英文文摘

声明

第一章前言

1.1研究背景

1.2本文研究重点及其现实意义

1.3本文结构概要

第二章防火墙联动系统综述

2.1防火墙的简介

2.1.1防火墙的分类

2.1.2防火墙的未来发展趋势

2.2入侵检测的简介

2.2.1入侵检测的概念

2.2.2入侵检测系统的必要性

2.2.3入侵检测系统的通用模型

2.3防火墙联动技术

2.3.1联动的必要性

2.3.2防火墙的联动方式

2.3.3防火墙的局限性

2.3.4入侵检测的局限性

2.4防火墙厂商提供的协议和接口

2.4.1 OPSEC简介

2.4.2 TOPSEC简介

2.5 NAP简介

2.6入侵检测的标准化协议

第三章I DS联动中心总体设计方案

3.1方案的选择

3.2系统功能要求

3.3系统特点

3.4系统框架

3.5系统工作流程设计

第四章I DS分析中心的设计

4.1警报分析的主要研究方法

4.2警报分析算法的设计

4.2.1 prerequisite和consequence属性的引入

4.2.2 HyperAlert的定义

4.3 IDS分析中心的设计

4.3.1知识库的设计

4.3.2警报预处理的设计

4.3.3警报关联分析的设计

第五章联动协议的实现

5.1IAP协议的实现

5.1.1 IAP协议的概述

5.1.2 IAP协议的传输报文格式

5.1.3 IAP协议的通信过程

5.1.4 TLS握手协议的通信过程

5.2 IDMEF协议的实现

5.2.1 IDMEF协议的概述

5.2.2 Alert格式的定义

5.2.3 Alert的解析

第六章I DS分析中心的实现及结果

6.1知识库的建立模块

6.2 IDMEF协议解析模块

6.2.1与IDS建立IAP连接的线程

6.2.2 IDMEF协议解析的线程

6.3警报预处理模块

6.4警报关联分析模块

6.4.1警报关联分析模块的工作流程

6.4.2 HyperAlert实例的查找

6.4.3 HyperAlert实例的插入

6.4.4 HyperAlert实例的删除

6.5 IDS分析中心的实验结果

6.5.1实验结果1

6.5.2实验结果2

第七章 结束语

参考文献

致谢