入侵检测警报综合分析方法的研究与实现

摘要

入侵检测系统(Intrusion Detection System,IDS)对网络传输进行即时监视,并对其中可疑传输发出警报。然而,在计算机网络攻击手段的日益复杂、大规模协同攻击层出不穷的形势下,IDS的局限性日益凸显:警报数量巨大,漏报误报率较高,警报层次较低,且彼此孤立。因此,现阶段IDS较难为安全分析人员直接有效的利用,对IDS产生的警报数据做进一步关联分析显得越来越重要。基于因果关系的警报关联方法是其中最具代表性的方法之一。但是很多情况下,这种方法对于连续的协同攻击,难以产生完整的攻击场景图,而是由于种种原因被分散为若干个子场景图,此外,常见因果关联方法无法及时处理较大规模警报,因此可用性较差,无法实际部署应用。
　　针对上述局限性,本文提出并实现一种采用攻击策略图的警报综合分析方法。首先,通过分析大规模协同攻击及入侵检测警报数据的特点,建立一种攻击策略图模型作为先验知识库;其次,基于上述知识库提出并实现多种入侵检测警报分析方法,主要方法涉及完整攻击场景图的重构、入侵检测系统漏报推断以及后续警报推测;然后,通过引入警报数据融合以及新型滑动窗口机制提高警报分析效率,以保证系统可用性。最后,完成系统的开发及测试,结果证明了方法的实际有效性和高效性。

目录

封面

声明

中文摘要

英文摘要

目录

第一章绪论

1 .1研究背景

1 .2论文主要内容

1 .3论文结构安排

第二章入侵检测及警报分析方法现状

2 .1入侵检测技术及其不足

2 .2警报分析方法研究

2 .3本章小结

第三章攻击策略图模型

3 .1逻辑相关性

3 .2属性相关性

3 .3攻击策略图的建立

3.4 本章小结

第四章综合警报分析方法

4 .1警报融合及新型滑动窗口机制

4 .2漏报推断

4 .3完整攻击场景图重构

4 .4后续攻击预测

4 .5讨论

4 .6本章小结

第五草系统开发与实验分析

5 .1系统开发

5 .2实验与分析

第六章总结与展望

致谢

参考文献

研究成果