论文部分内容阅读
随着计算机网络结构的日益复杂,大规模、分布式高速网络的大量应用以及网络入侵技术的发展,整个网络所面临的安全威胁日益严重。入侵检测系统以其内在的优点已成为网络安全的重要组成部分。但是传统的入侵检测系统往往只注重于检测低层的攻击行为或者异常行为,这些入侵检测系统往往只提供给用户大量孤立的报警信息,而不去关心这些报警信息之间是否存在逻辑上的联系。从而产生了数量及其巨大的报警信息,且使得真正的报警信息被淹没在大量误报警中。最终导致用户或者入侵响应系统难以理解入侵检测产生的报警信息,难以采取有效的应对策略。需要对报警信息进行关联,得到关于入侵行为的整体的、高层的认识,以更好的发现和阻止网络入侵行为。
本文提出了一个基于攻击意图的报警关联系统。报警信息所对应的攻击行为的目的即攻击意图。使用攻击意图而非具体的报警信息构建攻击场景能够更好的反映攻击过程的本质。该系统先把入侵检测系统产生的报警信息经过报警标准化、报警合并使得系统中不存在表示同一攻击行为的报警信息,然后找出这些报警信息对应的攻击意图,再根据预先建立的攻击场景对这些攻击意图进行关联,从而实现了报警信息的关联。在此基础上,部分实现了系统,并利用报警关联测试数据进行实验和分析。