基于入侵行为模式的告警关联

本文提出了一种基于入侵行为模式的告警关联方式。入侵行为模式是定义在时间
基础上的一组谓词公式，其实质是通过时间限制联系在一起的入侵事件的集合。该方法在对大量告警进行关联的同时，对虚警的处理尤为有效。
根据检测引擎的实现技术，入侵检测系统（IDS）可分为 “基于误用”和“基于异常”
两类。由于每类IDS 都有其自身无法克服的缺陷，因此目前倾向于在网络环境下安装多个IDS，这些IDS 可能采用基于误用的也可能采用基于异常的检测方式。但大多数IDS 只是对简单攻击或异常进行检测，它们除了产生大量的告警以外并没有做任何更深入的工作。准确的告警和误警常常混合在一起。在复杂攻击的情况下告警之间可能存在某种联系，而这些IDS 却不能发现这些攻击之间的逻辑关系，也不能发现隐藏在这些告警背后的攻击策略，它们只是产生相对独立的告警。为解决这个问题，通常需要对各IDS 的告警进行聚类和关联。
与入侵检测一样，告警关联的方法也分两类：基于异常的告警关联与基于误用。前者的
典型代表是基于相似概率的告警关联[1]，此种方法是基于告警之间的相似度进行告警关联，虽然该方法在关联某些告警信息时很有效，但相似度的衡量及取值比较困难，不能完全揭示相关告警之间的关系。后一种方法的代表是基于攻击的前提和结果[2]，这种方法是从攻击的角度分析攻击的前提条件及结果，如果一个早期攻击的结果满足一个较晚攻击的前提条件，就可以关联这些攻击的告警信息。这种方法有一定的灵活性，对发现隐藏在告警序列背后的攻击策略非常有效，但面临定义攻击前提和结果的难题，且难于把握告警之间的时间限制，此外对虚警的处理很不理想。本文介绍了我们在分布式协同入侵检测系统（DACIDS）[3]中使用的另一种基于误用的告警关联方法，该方法定义了一种基于时间的入侵行为模式[4]，通过对模式的识别进行告警关联。这种方法有效解决了告警之间的时间限制的定义，而且在对大量告警进行关联的同时，对减少告警数量以及对虚警的处理方面尤为有效。
本文第1 节对入侵行为模式给出定义，第2 节详细描述了对入侵行为模式的匹配算法，
第3 节概述了DACIDS 中使用的告警信息关联模型，最后给出了后续工作内容并加以小结。