当前位置:首页 >> 能源/化工 >>

网络安全管理系统中告警融合技术的研究设计


r-l 1



密级:

保密期限:

卜.


‘『.蠹1.■,
亭'.

砖孪智童天莘
硕士研究生学位论文

;。
,.

o,


/>。

一lF

题目:圜终塞全篮堡丕统生告警融金 撞苤鲍硒究逡让
学 姓 专 导 学 号: 名: Q2鱼三鱼Q


闺越

业:
师: 院:

信息塞全
篮蕴 让篡扭堂瞳

2010年1月1日

…………棚究…]
o辛.

o啮■、‘冀I一'■ 一专.- ,。

./㈣嬲
独创性(或创新性)声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究 成果。尽我所知,除了文中特别加以标注和致谢中所罗列的内容以外,论文中不 包含其他人已经发表或撰写过的研究成果,也不包含为获得北京邮电大学或其他


教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任
何贡献均已在论文中作了明确的说明并表示了谢意。




申请学位论文与资料若有不实之处,本人承担一切相关责任。

本人签名:

日期:

关于论文使用授权的说明

学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定,即: 研究生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保 留并向国家有关部门或机构送交论文的复印件和磁盘,允许学位论文被查阅和借 阅;学校可以公布学位论文的全部或部分内容,可以允许采用影印、缩印或其它
复制手段保存、汇编学位论文.(保密的学位论文在解密后遵守此规定)

本学位论文不属于保密范围,适用本授权书。

本人签名:
导师签名:

、爿



融合技术的研究








北京邮l也人学硕L学位论文

嘲络安令管理中告警融合技术的研究

网络安全管理系统中告警融合技术的研究

■k

摘要




随着近年来网络的普及,网络攻击和非法访问飞速增长,网络安 全的形势日益严峻。为了保证内部网络中的计算机和网络系统的安 全,网络管理人员在其内部网络中构建起由防火墙、防病毒服务器、 入侵检测系统等众多安全设备组成的防御体系,各类安全设备产生大 量各类告警。告警特点有:告警量过大,误警率高:告警信息非常琐 碎,于告警的分析和理解比较困难。这样的告警信息直接影响着对攻 击的分析和及时响应,也将占用安全管理员的大量的处理时间。大量 的重复告警,虚假告警,无意义告警,给网络安全管理带来了极大困 难,几乎超过了人力处理的能力极限。 在这个背景下,为有效处理告警信息,告警融合技术开始得到人 们的关注。告警融合包括合并重复告警,过滤无意义和错误告警,组 合琐碎告警和对告警优先级进行判别等过程,以达到处理后提高告警 的信息量和准确率,减少告警量的目的。目前国内外都在进行广泛的 研究,并且已经取得了一定的成果。采用概率的方法难以揭示告警之 间的关系,并且难点在于需要找出先验概率。采用状态转移的方法需 要对每种攻击进行关联,工作量大。采用欧氏距离的方法难于确定阈 值。 论文提出的先对告警进行分类,通过分析历史告警数据库得到告 警概率和相关数据,进而基于有限状态自动机进行告警融合,最后根



据有限状态自动机历经的状态和告警概率相关数据建立贝叶斯网络,
计算告警信度的方法,解决了告警融合体系中的一些难题,同时具备 对新入侵行为的学习能力。 论文第一章介绍了我国网络发展现状和网络安全形势现状。第二 章随后介绍入侵检测技术和告警融合算法的发展。第三章提出了基于 有限状态自动机的告警融合机制,给出了告警融合系统的结构。第四 章提出了基于贝叶斯网络的告警信度计算机制,在时间窗口选择,告 警概率,告警后验概率,构造贝叶斯网络,计算告警信度方面进行大

‘.

量探讨。第五章在一个局域网络安全管理系统中对告警融合机制进行

络安伞管理中告警融合技术的研究

发展进行了总结和展

网络告警融合

北京邮哇三人学硕l:学位论文

9c】j络安令管理中告警融合技术的研究

RESEARCH AND DESIGN ON AN ALERTS

MERGE

SCHME
SECURITY
、●.

IN

NETWORK

NⅢAGEMENT SYSTEM
ABSTRACT




Along with the spread of internet,the amount of network attack and illegal
access

is growing rapidly.The situation of

network

security is harder

and

harder day by day.In order to guarantee the


security of intranet,the security governors build

defense system

including firewall,anti—virus server,IDS,etc.These reports large amounts of

security devices

alerts.The

features of these alerts include

hard to amount .high rate u of mxstakes of trivial o intormation hug, e g mistakes。trivial’nformation,hard h t






analysis and understand,etc.These alerts have bad influence

on

the

analysis

and handling of attacks and take lots of time of security

governors.The duplicate alerts,fake alert bring many nearly
over

and

meaningless alerts

difficulties

to the network

security management witch

the limit of human

ability.

In this situation,to merge technology gets

efficient handling alert information,alert
more and more attentions.Alert merge

technology include combine duplicate alerts,filter the meaningless and fake alerts,associate fragmented alerts,define the risk level.The


北京邮l乜人学硕J:学位论文

网络安全管理中告警融合技术的研究

purpose of alert me唱e is enhancing alert information and accuracy, decrease alert amount.Researchers home and abroad are conducting extensive research based

and have

achieved

certain

results

recently.

Methods
between based

on

probability theory can’t reveal
to find out priori

the relation





alerts,and is hard

probability.Methods




on state

transition need to associate

every kind of alerts,and
on

bring large

amount of workload.Methods based
to define threshold.

Euclidean

distance are hard

Method proposed in this paper which includes categories alerts,
then calculate the probabilities of merge alert based
on

every kind of alert and other data,


FSM,at last build

Bayesian network

according to the state of

FSM and alerts probabilities,calculate

reliability of merged alert,solve some problems in the alert meNe
system,and has the ability
Chapter 1
to learn new attacks.

introduced the developing

of internet and

network

security situation in China.Chapter 2 introduced IDS technology and the developing of alert me唱e.Chapter 3 proposed
me玛e scheme based
calculating alert lots
on an

alert

FSM.Chapter 4 proposed
on



method of

reliability based
on

Bayesian

network,and made

of discussion

time

window,alert probability,posterior

probability,building Bayesian

network

according to attack

scene.



北京邮l也人学坝I:学位论文

网络安伞管理中告警融合技术的研究

Chapter 5 implement the scheme in system and did some



network security management 6

analysis.Chapter

summarized

and

forecasted the developing of alert merge technology.
k ● ’

KEY

WORDS:network security management

IDS

FSM

Bayesian network

alert merge





北京邮I乜人学硕fj学位论文

网络安伞管理中告警融合技术的研究

▲ ●





北京邮l乜人学颂l:学位论文

网络安伞管理中告警融合技术的研究


第一章
1.1 1.2



第二章
2.1

绪论……………………………………………….1 引’言……………………………………………….1 论文研究工作和内容结构……………………………….2 入侵检测技术和告警融合……………………………….3 入侵检测系统………………………………………..4

2.1.1网络入侵检测…………………………………..4
2.1.2主机入侵检测…………………………………..5 2.1.3分布式入侵检测…………………………………7
2.2

告警融合…………………………………………..10 2.2.1告警融合的需求分析…………………………….1l 2.2.2告警融合技术的发展现状…………………………11
基于有限状态自动机的告警融合…………………………15 有限状态自动机……………………………………..15 告警定义…………………………………………..15 入侵事件与告警归类……………………..j………….16 告警过滤…………………………………………..18 3.4.1告警归约……………………………………..19 3.4.2有效性过滤……………………………………20

第三章
3.1 3.2 3.3 3.4

3.4.3告警过滤结构………………………………….2l
3.5

3. 3.

告警关联…………………………………………..22 3.5.1告警相互关系………………………………….22 3.5.2基于有限状态自动机的告警关联模型………………..23 3.5.3实例分析……………………………………..29 告警融合系统结构……………………………………32

小结………………………………………………32
告警融合的贝叶斯网络和告警信度……………………….34 贝叶斯公式和贝叶斯网络………………………………34

第四章
4.

4.1.1贝叶斯公式……………………………………34 4.1.2贝叶斯网络……………………………………35
4.2

告警事件概率……………………………………….36 4。2.1概率的频度解释………………………………..37

4.2.2告警事件概率和时间窗口…………………………37
4.2.3告警信度……………………………………..38
4.3

针对入侵行为的贝叶斯网络建模…………………………38
4.3.1告警概率采集………………………………….39 4.3.2基于因果关系建立贝叶斯网络……………………..40 4.3.3计算告警信度………………………………….42 4.3.4实例分析……………………………………..43 入侵行为学习……………………………………….45

4.4

喇络安伞管理中告警融合技术的研究

…………………….46
…………………….47
.........................50



北京邮I乜大学硕I:学位论文

网络安令管理中告警融合技术的研究

弟一早三百T匕 第一章绪论
1.1

引言
可以说,互联网是20世纪最伟大的发明之一。众所周知,互联网于1969

年最早起源于美国。互联网已成为信息化的重要平台、信息化的重要工具和信息 化的重要组成部分,互联网已经与信息化分不开,而且相互促进。时至今日,信
息化浪潮正席卷全球,方兴未艾。

中国正式接入国际互联网是在在1994年。显而易见,中国互联网行业的起 步较晚。但经过了15年的发展,中国这个后起之秀,已经顺利走过了导入期, 走上了快速发展的道路,进入成长期,正应了“后来者居上”的话。中国互联网行 业在快速经历了跟随、参与之后,即将步入主导阶段。可以说,中国互联网的发 展创造了一个互联网神话,其发展速度在全球同等GDP国家中应该是首屈一指
的。

截至2008年12月31日,中国网民规模达到2.98亿人,普及率达到22.6%, 超过全球平均水平;网民规模较2007年增长8800万人,年增长率为41.9%。中 国网民规模依然保持快速增长之势。宽带网民规模达到2.7亿人,占网民总体的 90.6%。手机上网网民规模达到11760万人,较2007年增长了133%。农村网民 规模增长迅速,网民规模达到8460万人,较2007年增长60.8%,增速远远超过
城镇(35.6%)。Ⅲ

中国互联网基础资源增长迅速,但增长不均衡。mV4地址的增速已经连续 两年落后于网民的增速,IPV4地址的增速如果持续落后于中国网民的增速,未 来将成为制约中国互联网发展发展的瓶颈因素。CN域名和CN域名下网站增速 均超过域名总体和网站总体的增长速度,成为拉动中国互联网资源增长的重要力 量。2008年中国的网络新闻得到快速发展,网络新闻的使用率较去年提升了近5 个百分点,网络新闻用户达到23400万人,互联网已经成为一个不可忽视的舆论 宣传阵地。Ⅲ 目前的互联网非常脆弱,各种热点新闻、流行软件、社交(SNS)网站、浏 览器插件的漏洞层出不穷,为黑客提供了大量入侵和攻击的机会。网页取代网络 成为攻击活动的主要渠道,“挂马网页”已经成为黑客传播病毒的主要手段。目 前90%以上的木马病毒通过“挂马”方式传播,这些几乎都源于系统漏洞、后台 服务器存在不安全设置、网站实现代码缺陷(如SQL注入、论坛代码缺陷、跨
站脚本等)、或网站提供W曲服务的程序漏洞、IIS漏洞、Apache漏洞等隐患,

给黑客可乘之机;其中访问量越大的网站越有被挂马的可能,因为此类网站被黑 客关注程度较高;另外就是政府机关网站、各大中型企业网站,由于专业性技术 人员缺乏,网站大多由第三方公司外包开发,存在缺陷较多,也最容易被挂马。

北京邮f乜人学硕.1:学位论文

网络安伞管理中告警融合技术的研究

为提高网络安全性能,企业,单位越柬越多采用防火墙,入侵检测系统,入 侵防护系统,漏洞扫描器等各种安全设备,用于管理局域网络下的各种安全域。 设备的增多给网络带来更高安全性的同时,也产生了管理困难的情况,各种设备 的应用策略,告警事件数量庞大,几乎超过了人力处理的能力极限。
1.2

论文研究工作和内容结构
L厶。

随着对网络安全性能要求的不断提高和网络安全技术的不断发展,局域网 络安全管理中的告警管理难度也随之提高,主要表现在告警数量庞大,存在大量 虚假告警、重复告警、无效告警。这种情况下,对海量数据的告警信息进行整合 处理就显得尤为重要。告警融合完成的就是这样一个工作。论文的主要工作集中
在如下几个方面: 一、 二、 规范告警定义。



分类告警。 三、 选取有限状态自动机模型,设计以该模型为基础的告警融合机制, 主要完成告警过滤和告警关联功能。 四、 利用贝叶斯网络建立融合网络,确定融合后的告警信度。 五、 实现该机制。 论文介绍了入侵检测技术和告警融合技术的发展,探讨了入侵检测和告警融 合技术的现状,提出了基于有限状态自动机的告警融合机制和基于贝叶斯网络的 告警信度计算机制,并实例分析了联合两种机制在融合告警分析入侵行为中的作
用过程和效果。 论文共分五章,组织如下:

第一章为绪论,介绍我国网络发展现状和网络安全形势现状,以及全文组织
结构。

第二章介绍主流入侵检测技术原理和告警融合算法的发展。 第三章提出了基于有限状态自动机的告警融合机制,介绍了有限状态自动机 的概念,提出并分析了告警过滤和告警融合两个阶段,最后给出了告警融合系统
的结构。

第四章介绍了贝叶斯网络,提出了基于贝叶斯网络的告警信度计算机制,在 时间窗口选择,告警概率,告警条件概率计算,根据攻击场景构造贝叶斯网络, 计算告警信度方面做了大量探讨,并进行了实例分析。 第五章总结前四章的内容,并提出了对告警融合技术未来发展的展望。

北京邮电人学硕I:学位论文

网络安伞管理中告警融合技术的研究

第二章入侵检测技术和告警融合
入侵检测系统技术(IDS
Intrusion Detection

Systems)是网络安全中的重要

技术,也是一个安全域中告警事件的最主要来源。
N■

入侵检测系统是一种对计算机和网络资源的恶意使用行为,也就是一般意义 上的入侵行为,进行甄别、告警和处理的系统。入侵行为一般包括系统外部的入

‘‘

侵和内部用户的非授权行为,而入侵检测系统是一种用于检测计算机网络中违反 安全策略行为的技术,目的是保证能够及时发现并报告系统中未授权或异常现 象、行为和结果,保障计算机网络系统的安全。 入侵检测主要分为异常检测和误用检测。异常检测首先定义系统活动的正常 集合,不在集合内的系统活动被视为异常行为。该方法的优点是可以检测出未曾 见过的入侵活动,适应性较好,缺点是误报率较高。误用检测首先定义系统活动 的不正常集合,不在集合范围内的系统活动被视为正常行为,该方法的优点是可 以有效地检测到一种攻击模式的入侵活动,缺点是适应性差,难以识别攻击微小
变动,漏报率高,需要不断更新。

入侵检测系统的实现方法很多,例如:基于专家系统入侵检测方法、基于神 经网络的入侵检测方法等。目前一些入侵检测系统在应用层入侵检测中已有实 现。 一个完整的入侵检测系统主要完成如下任务:监视、分析用户及系统活动; 识别反映已知进攻的活动模式并向相关人士报警;识别用户违反安全策略的行为 审计系统构造和弱点;操作系统的审计跟踪管理;统计分析异常行为模式;评估 重要系统和数据文件的完整性。 过去,入侵检测系统的研究都集中在体系结构和检测方法上,在技术不断取 得突破的同时,也暴露了很多问题,这些问题主要体现在以下几个方面: 过大的告警量:入侵检测系统,尤其是基于网络的入侵检测系统在连续运行 时,告警的数量往往短时间就可以达到G数量级‘31,过多无关信息导致真正的 攻击信息淹没在巨大的告警流中无法被发现t41。 过高的误警率:不管是采取误用检测还是异常检测,都无可避免的有误警的 问题,而对实际使用中入侵检测系统的统计数据表明,最多的时候有99%以上的
告警可能是误警或者无关告警111 14]。

告警信息难于理解:告警信息独立化,时间范围离散化使安全管理员难子从 告警信息中直接获得黑客的整个攻击流程,同时也难以对告警做出较为全面的分 析和判断,难以达到尽快采用正确措施响应告警的最终目的。 告警信息琐碎:一个简单的攻击很可能带来一系列琐碎的告警,目前的入侵



北京邮I乜人学硕.1j学位论文

网络安令管理中告警融合技术的研究

检测系统只能检测出单个的入侵事件或异常状态,并对每个异常产生一个告警。 这造成告警数量庞大,但安全管理员可以从告警中获得的有效信息却很少。 入侵检测系统的这些问题直接并且严重的影响了安全管理员对入侵行为和 安全告警的认识和分析,并且严重影响了入侵检测系统运行的有效性、可靠性和 易用性。基于这些原因,如何再分析和再组织入侵检测系统产生的安全告警,消 除冗余信息,组合琐碎的告警事件,成为入侵检测技术、网络安全管理技术亟待 解决的一个重要问题。在这种背景下,研究者们开始研究如何借鉴通信网络中的 已经得到广泛应用的告警关联和分析技术,在基于入侵检测的网络安全管理中整 合告警信息,并且提出了很多告警融合的方法。但是,目前在告警关联领域还有 很多研究工作等待开展。
2.1
2.1.1


、o

入侵检测系统
网络入侵检测
Network Intrusion Detection

基于网络的入侵检测系统(NIDS

Systems)的主

要原理是:从计算机网络中提取相关数据,通过检查所有数据包的包头来进行检 测,主要应对许多P的拒绝服务攻击和碎片攻击,这些攻击只能通过查看其通 过网络传输时的包首标才能识别。 基于网络的入侵检测产品通常也称硬件检测系统。硬件检测系统一般放置在 比较重要的网段内,如企业核心机密数据库系统、保密系统、业务系统。硬件检 测系统工作时不停地监视网段中传输的各种数据包。对每一个数据包或某些可疑 的数据包进行特征分析匹配。如果数据包与硬件检测系统内置的某些规则、策略 吻合,入侵检测系统就会发出告警,严重情况下甚至可以直接切断网络连接,目 前,大部分入侵检测产品是基于网络的入侵检测系统。 网络入侵检测系统能够检测来自网络的入侵行为,可以检测到超过授权的非 法访问。网络入侵检测系统不能检测在不同网段的网络包,只检查与它直接连接 网段的通信内容,在使用交换以太网的环境中就会出现监测范围的局限,但是采 取安装多台网络入侵检测系统的传感器的方法会大大增加部署安全防护系统的 成本。通常,为了性能目的,网络入侵检测系统采用特征检测的方法,这样可以 检测出一些普通的入侵行为,但是很难完成一些需要复杂的大量计算与分析时间 的入侵检测功能。网络入侵检测系统近年内出产了一些专门设备,这样的网络入 侵检测系统安装方便,配置便捷,易于管理。 网络入侵检测系统处理加密的会话过程较困难,例如IPsec,口V6等,目前 通过加密通道的攻击尚不多,但随着口V6的普及,这个问题会越来越突出。基 于网络的入侵检测系统通过在网段上侦听通信数据来采集数据。当网络入侵检测 系统同时检测多台主机的时候,将会出现系统性能下降的问题,特别是在网速越



北京邮ILl人学顾l:学位论文

网络安伞管理中告警融合技术的研究

来越快的情况下。网络入侵检测系统需要将大量的数据包传送到分析系统中,数 据报的监听和分析过程会产生大量的分析数据流量。一些系统在实现时采用一定 方法来减少回传的数据量,而中央控制台被作为状态显示与通信中心,不再作为 入侵行为分析器,对入侵判断的决策由传感器实现。这样的系统中的传感器协同 工作能力较弱。同时,由于系统需要长期保留安全域内的各类安全事件和入侵行 为记录,会导致系统存储资源耗竭。尽管存在这些缺点,但是基于网络的入侵检 测系统易于配置,易于作为独立的组件来进行管理不需要改变服务器等网络设备 的配置,也不会在业务系统的各类主机中安装额外的运行软件,从而不会影响这 些机器的CPU、I/O与磁盘等资源的使用,不会影响系统的运行效率,不会影响 业务系统的性能。 网络入侵检测系统不像路由器、防火墙等关键设备方式工作,

不处于网络拓扑结构中的关键节点位置,不会影响系统中的关键路径,所以网络 入侵检测系统发生故障时不会影响正常业务的运行。这样,部署一个网络入侵检 测系统的风险远低于部署一个主机入侵检测系统的风险,对受保护系统的性能不 产生影响或产生的影响很小,所以网络入侵检测系统依然是流行的入侵检测技
术。

2..1.2主机入侵检测 基于主机的入侵检测系统(HIDS
Host Intrusion Detection

Systems)的工作原

理如下:系统从单个主机上提取数据,如审计记录,网络访问记录等.通过对单 个主机进行检测,能够获取的信息量较少,但获取的是面向操作系统和应用的信 息,系统可以结合用户行为和操作系统行为来判定系统安全状态和安全告警,发 现入侵行为。如发生在某一网段主机之间的内部攻击并不经过网络路由器,只能 通过基于主机的入侵检测系统进行检测 基于主机的入侵检测系统使用验证记录,自动化程度大大提高,并发展了精 密的可迅速做出响应的检测技术。通常,基于主机的IDS可监视系统、事件和
Window NT下的安全记录以及UNIX环境下的系统记录。基于主机的入侵检测

技术可以监视只有管理员才有权限进行的非正常行为。操作系统能够记录任何有 关用户账号的添加,删除、修改、权限变化等情况,当改动发生时,基于主机的 入侵检测系统可以检察测到这些有嫌疑的改动。同时,基于主机的入侵检测系统 可以审计能影响系统记录的校验措施的改变。最后,基于主机的系统可以检测系 统关键文件以及可执行文件的变动,能够检查那些意图改写重要系统文件或者安 装木马程序或后门的尝试行为并将中断危险操作。当有文件发生变化时,IDS将 新的记录条目与攻击标记相比较,看它们是否匹配。如果匹配,系统就会向管理
员报警并向别的目标报告,以采取措施。

基于主机的入侵检测监视用户和访问文件的活动,包括文件访问、改变文件



北京邮I乜人学硕.1:学位论文

嘲络安伞管理中告警融合技术的研究

权限,试图建立新的可执行文件并且/或者试图访问特殊的设备。基于主机的 IDS可以监督所有用户的登录及不连接网络情况,以及每位用户在联结到网络以 后的行为。对于基于网络的系统经要做到这个程度是非常困难的。对关键系统文 件和可执行文件的入侵检测,通过定期检查校验和来进行,以便发现关键系统文 件和可执行文件的变化。反应的快慢与轮询间隔的频率有直接的关系。许多产品 都是监听端口的活动,并在特定端口被访问时向管理员报警。这类检测方法将基 于网络的入侵检测的基本方法融入到基于主机的检测环境中。而基于网络的入侵 检测系统大多数情况下会查不到这些主机入侵行为,例如,来自主要服务器键盘 的攻击不经过网络,所以可以躲开基于网络的入侵检测系统。 由于基于主机的系统安装在遍布企业的各种主机上,它们比基于网络的入侵 检测系统更加适于交换的和加密的环境,对NIDS难以处理的加密会话的入侵行 为,HIDS显然具有更高的处理能力。基于主机的入侵检测系统可安装在需要重 点保护的重要主机上,在交换的环境中具有更高的能见度。由于交换设备可将大 型网络分成许多的小型网络部件加以管理,所以从覆盖足够大的网络范围的角度 出发,很难确定配置基于网络的入侵检测系统的最佳位置。应用业务映射和交换 机上的管理端口有助于解决这个问题,但这些技术有时并不适用。某些加密方式 也向基于网络的入侵检测发出了挑战。由于加密方式位于协议堆栈内,所以基于 网络的系统可能对某些攻击没有反应,基于主机的入侵检测系统没有这方面的限 制,当操作系统及基于主机的入侵检测系统看到业务时,数据流已经被解密了, 这时可以对入侵行为做出反应。 基于主机的入侵检测系统不能对入侵行为提供真正的实时反应,但如果应用 正确,反应速度可以非常接近实时的效果。老式入侵检测系统的方法利用一个进 程在预先定义的间隔内检查登记文件的状态和内容,当前基于主机的系统的中断 指令,使新的记录能够被立即处理,大幅削减了从入侵行为验证到作出响应的时 间,在从操作系统做出记录到基于主机的入侵检测系统得到检测结果之间的这段 时间是一段防御空白期,但在大多数情况下,在入侵可能造成的破坏发生之前, 系统就能发现入侵者,并中止他的入侵行为。 基于主机的入侵检查系统不如基于网络的入侵检查系统快捷,却具有基于网 络的系统所不具有的优点。这些优点包括:对特殊主机事件的紧密关注、更好的 辨识分析及相对低廉的成本。基于主机的入侵检测系统可以比基于网络的入侵监 测系统更加准确地判断入侵行为是否成功。在这方面,基于主机的入侵检测系统 是基于网络的入侵检测系统完美补充,网络部分可以尽早提供警告,主机部分可 以确定攻击成功与否。



北京邮I乜人学顾I:学位论文

}c)j络安伞管理中告警融合技术的研究

2.1.3分布式入侵检测 分布式入侵检测系统(DIDS)可视为基于主机和基于网络的检测方法的集
成,其结构如图2.1‘51:

图2.1 DIDS结构框图

分布式入侵检测系统的目的就是发现整个网络范围的入侵活动。其检测的主 要依据是网络通信状况和网络协议的使用情况。该系统由四类监控代理构成‘51: 主机监控子代理,主机监控代理,网络监控中心和中心网络管理器。各类监控代 理分布于网络的各主机中,能够协作完成整个网络的入侵检测功能并对入侵行为 进行处理。随着网络范围的扩大,这些监控代理还能够通过继续级联,在更高层 次结构上进行扩展。因此该系统的优点是能较好地实现对数据的监听,容错能力 强,扩展能力强,能检测大范围的网络入侵活动。他不仅可以防止外部的入侵行 为,也可以防止内部的入侵攻击,很好的集成了基于主机的入侵检测系统和基于 网络的入侵检测系统的优点。分布式入侵检测的体系结构如图所示:



北京邮电人学硕.1:学位论文

网络安伞管理中告警融合技术的研究

IlI心网络管理器



两络监控代理

畜习白
习lb

主机监控代理

图2.2分布式入侵检测系统结构体系

根据文献【5】对分布式入侵检测系统的描述,分布式入侵检测系统需要在 所监控网络的每台重要主机上安装主机监控代理程序,而在各个局域网络分别安 装网络监控代理程序。根据入侵检测实际情况的需要在每个主机监控代理中存在 多个子代理,各个子代理负责检测对本主机和其他选定主机的某一类系统资源的 攻击,如用户系统,文件系统,网络系统等。在主机入侵检测中,整个主机的网 络入侵检测由分布于主机中的各主机监控子代理完成。每个子代理负责某类或某 个子类的攻击检测。这些子代理都独立的进行数据收集、分析和处理并向主机监 控代理报告检测结果,在报告中注明所检测的是哪类攻击的某个子类。在主机监 控代理中保存有完整的网络攻击分类描述信息,用于对各子代理进行管理。主机 监控代理完成接收本主机内子代理的检测报告,处理子代理间的协同检测,执行 对本主机的入侵检测和入侵响应的工作。网络监控代理接受网络中主机监控代理 的检测报告,并对这些主机监控代理进行管理和配置,同时各网络监控代理之间 进行信息交换、处理、整合,并根据需要向中心网路管理器报告.通过各个代理



北京邮I也人学硕.1:学位论文

嘲络安全管理中告警融合技术的研究

之问的协调配合,可以实现整个网络的入侵检测。分布式入侵检测系统中的主机 监控子代理、主机监控代理,网络代理中心和中心网络管理器四个主要部分独立 于系统运行,在主机中是四组完成相应功能的不同进程,这些进程可以被称为自 治主体。这些自治主体可以监控系统的网络数据包,接收数据包头中各个字段的 数值和各种数据,如包的平均大小、源地址和目的地址、包的到达时间等。

在主体用于监控系统之前,必须进行充足训练使系统能够对入侵行为做出正 确的反映。该训练通过这样一种反馈机制实现:操作员给出不同的网络信息流形 式(例如入侵状态和入侵状态等),主体能够访问网络信息流,操作员结合主体 的实际行为和流量模式所期望的行为,给出训练数据,经过一段时间的训练,主 体就可以在网络信息流中检测异常活动。目前,主体是通过基因算法进行学习的,
操作员无需主动调整主体的操作。

但是为了检测入侵,多个主体必须协同工作。大多数情况下,需要数个主体 一起监控可能被入侵的所有方面。例如,一个主体监控主机行为,另一个监控主 机用户权限变化,第三个主体则检查网络数据包内容。这些主体通过相互交流它 们发现的可疑点检测入侵行为,当某个主体发现可疑活动时,将提升其他的主体 检测铭感度等级,当主体分析数据包是,通过通知其他主体某个可疑行为的方式, 积累某一系列入侵行为的可疑级别,最终当整个可疑级别超过安全阈值时,系统 就会像安全管理员发出入侵告警。例如,当网络系统代理发现有可疑用户访问时, 它会对其进行分析;若未超出可疑限度,则增加该反应的相应可疑度并传递给其 他代理。这时如果用户代理发现该访问进行了可以的用户权限操作,则继续增加 该访问的可疑度。若文件系统又发现了该访问进行了可疑的文件访问,则继续增 加该访问的可疑度,当可疑度达到了可疑阈值,则发出报警信息给主机用户,并 将此用户和主机的信息保存,同时相应增加该用户和地址的访问可疑权值。这样, 就在多个代理之间的协调工作下完成了一次入侵行为检测。 整个网络的入侵检测分布于网络各处。类似于前面介绍的主机入侵检测,一 个网络监控代理可管理多个主机监控代理。但是,为保证检测信息的一致性,每 个主机监控代理不允许向多个网络监控代理报告安全告警。当某个网络监控代理 失效后,其管理的主机监控代理就;立即转归其他网络代理接管。各网络监控代 理之间通过相互通信,协调对于入侵行为的判断,综合安全告警信息得到整个局 域网络范围的安全状况。多个局域网络中的网络监控代理会向上一层的中心网络 管理器报告,以进行基于全局的合理有效的入侵检测响应处理。 入侵检测系统对所检测到的网络安全事件的反应方式称为相应。入侵检测系 统有两类响应措施‘51:不直接针对入侵者采取行动的被动响应措施和直接采取行



北京邮I乜人学颂I:学位论文

列络安伞管理中告警融合技术的研究

动以保护被入侵目标的主动响应措施。被动响应就是系统仅仅简单地记录和报告 所检测出的问题,而主动响应则是系统自动地或与用户配合对阻塞或影响攻击进 程而采取行动。在早期的入侵检测系统中被动响应是唯一的响应模式,随着技术 的不断发展和人们对安全性的不断提高,主动响应成为现今入侵检测系统的主要 响应模式。在网络站点安全处理措施中,入侵检测的一个关键部分就是确定使用 哪一种入侵检测响应方式以及根据响应结果来决定采取哪些行动,主动响应是主
要方式。

l、被动响应措施 采用被动响应措施的入侵检测系统对于所检测到的网络安全事件,根据预定 义的安全策略来决定处理方式,将其忽略、记入安全日志、或是向安全管理员发 出通知。被动响应的入侵检测系统可以基于预先定义的安全策略将特定的通信对 象或会话过程的活动记入的日志,以积累更多的细节用于后续的分析处理。
2、主动响应措施

主动响应的入侵检测系统是网络运行管系统的一个组成部分。它除了做必要 的日志记录和向安全管理员报告之外,还需要对所观测到的网络安全事件作出自 动处理,对入侵活动进行干预,阻止入侵者进一步活动,例如暂时关闭导致入侵 者成功侵入的安全漏洞和服务进程;根据自己的判断对网络进行重新配置,如再 次分配m地址,重新调整防火墙的过滤规则,封锁某个特定的口地址或者某个 网络地址;启动陷阱功能,将入侵者引导到特定的目标进行追踪。 被动响应措置不会影响合法的传输,同时通过记录的各种日志可以收集到网 络入侵行为的证据。一方面,被动响应措旆由于不对入侵行为做出直接的实时反 应,因此有可能放任入侵者进一步行动获取系统的访问权限,加大对网络的危害。 主动响应可以实时保护目标系统并通过主动响应来减少安全管理员的工作量,但 是对于主动响应方式而言,如果安全策略设置不当,可能会导致大量的安全告警, 反而使管理员的处理工作量过大。因此这种主动的反应需要很高的智能水平和更 好的专家系统支持,这些要求在现阶段仍然是一项困难的工作. 为克服入侵检测系统的限制,获得更积极的网络安全防御机制,网络安全管 理系统的研究正在向整合大量安全设备方向发展。网络系统中一般同时采取很多 的其他安全技术,如防火墙、身份认证系统、补丁服务系统等.如果他们之间能 够相互配合,则入侵检测系统将通过协作式的数据共享对入侵行为进行响应,以 实现更高层次的网络安全性。
2.2

告警融合
如上所述,入侵检测系统通常按照两种方式进行分类,一般可分为:基于误

用检测的入侵检测系统和基于异常的入侵检测系统;基于网络的入侵检测系统和

北京邮I乜人学硕.1:学位论文

网络安全管理中告警融合技术的研究

基于主机的入侵检测系统。目自i『国内较常用的有启明入侵检测系统和基于Snort

的各类入侵检测产品,这些产品在使用中都会出现大量告警,告警特点有: (1)告警量过大,误警率高,需要人工分析的工作量太大。
(2)告警信息非常琐碎。

(3)对于告警的分析和理解比较困难。 这样的告警信息直接影响着对攻击的分析和及时响应,也将占用安全管理员 的大量的处理时间。告警融合技术就是在这个背景下提出的,它包括合并重复告 警,过滤无意义和错误告警,组合琐碎告警和对告警优先级进行判别等过程,以
便在处理后提高告警的信息量和准确率,减少告警量的目的。

2.2.1告警融合的需求分析 在分布式的入侵检测系统中,告警融合的分析研究应该主要基于以下几个方
面t2l:

(1)黑客的某种可产生大量告警的攻击:入侵检测系统一般只会检测告警 的一个特征,当黑客在进行扫描、DDOS等攻击行为时,入侵检测系统会产生大 量的告警,在告警处理时,很容易被这些信息所淹没,无法有效的响应。 (2)同一入侵行为导致多次告警:同一次网络入侵行为可能被分布于网络 中的多个传感器检测到;告警数量的快速增长使得系统处理效率下降,同时也可
能事入侵判断产生误差。

(3)黑客入侵的灵活性:有经验的黑客在进行攻击时,可能会才与一些巧 妙的方法绕开入侵检测系统。若告警关联分析系统采取基于规则关联方式,以一 条告警接着一条告警的方式判断告警间的关系,就很难发现黑客的一系列攻击行
为。

(4)遗漏或错误的告警信息:入侵检测系统本身不够完善或检测方法存在 缺陷而导致告警关联分析引擎没能得到告警或者得到了错误的告警。 (5)管理员有效处理大量告警信息的需求:系统安全管理员需要面对整个 安全域内的全部安全信息。大量未经处理的原始告警将降低管理员的工作效率。
2.2.2

告警融合技术的发展现状

为解决告警泛滥的问题,目前国内外都在进行广泛的研究,并且已经取得了
一定的成果1610

文献[7】中,Alfonso Valdes首次提出基于概率聚类的关联方法,通过计算原

始告警信息之间的多属性相似度——该相似度通过手工定义的属性相似概率矩 阵和函数来计算——做加权平均来计算网络安全信息间的整体相似度。
这种关联方法,在相似性标准取值适当的情况下,能够较好的的实现对网络 安全事件信息的有效聚类和关联。但是由于相似性标准的取值是由用户手工调整

北京邮!乜人学硕I:学位论文

网络安伞管理中告警融合技术的研究

的,系统并不理解不同取值以及分析结果之|’日J的差别。因此,在该技术的使用中, 其使用效果严重依赖于使用者所掌握的安全知识181。 EMERALD系统中使用了基于概率的告警关联方法。该方法为每一个告警特 征定义特征相似函数,然后计算告警之间的相似度,根据相似度融合告警。该方 法通过为告警中不同的特征设定不同的相似度匹配下限,来实现针对不同特征告 警关联,从而实现了Sensor(告警器)内部的告警线索(SyntheticThread)综合、
攻击类(Security Incidents)之间的相关和攻击步骤(Attack Stage)之间的相关

分析。在EMERALD告警数据高层次的关联分析中,采取相似度函数的方式, 计算关联告警之间的相似度,在计算中使用攻击类相似矩阵来描述不同攻击事件 之间的相似度。需要指出的是,这种方式通过先验知识事先给出攻击相似矩阵, 需要具有足够的知识库和黑客攻击特征模式以及准确的定量描述,在应用中有一
定的难度151.

文献[131@提出了一种分级的告警关联技术,该结构分为三级:事件归约, 混合关联,意图识别。事件归约将一次攻击产生的大量重复告警归约成一个新的 告警数据,称为原子攻击事件。混合关联对原子攻击事件进行概率关联和因果关 联,重构攻击场景,形成较复杂攻击事件.攻击意图识别尽力恢复丢失的告警并 合理预测攻击意图。
Kumar等人应用CPN(Colored Petri Net)在网络入侵检测系统原型IDIOTtl61

‘171中,描述和分析离散网络告警事件的状态转移,经过分析发现入侵行为。Mark

Sl珂在MAIDS[181‘191中提出了一种DCPN(Distributed Colored Pctri Net)描述
和检测复杂的攻击事件。并且在文献【20】针对上述方法进行研究和改进以提高效 率。文献[2l】【22】【23][24】中,通过监控和分析操作系统命令和调用序列来发现入 侵行为,通过分析底层网络连接和访问事件以及系统命令序列之间的关联关系, 发现并分析实际入侵行为,这种机制更侧重在单一检测系统的单一入侵行为的检 测技术。 文献[9】中提出了一种基于有限状态自动机(FSM)的告警关联技术,是本文提 出的告警融合机制的理论基础,在利用事件驱动选择时间窗口的基础上,利用 FSM来实现告警关联。由于FSM本身即可用事件驱动,所以该方法利于编程实 现,但是该方法只能用于关联已知的具有逻辑关系的告警。
文献[101中,BeIliamin Morin和Herve Debar提出了一种基于时序模式识别 的攻击场景识别技术。 文献【l 1]Cp,Steven Cheung等提出了一种基于专家系统的攻击场景识别技

术,通过判断攻击子场景模块是否满足一定约束条件,确定是否发生特定攻击场
景。

北京邮电人学硕f:学位论文

网络安伞管理中告警融合技术的研究

基于模式识别的告警关联能够分析出网络安全事件之间的关系,但无法识别 未知的攻击场景,对已知的场景也需要进行概括和穷举
文献[12】中IBM Zurich实验室的Debar等人提出利用享有的IDS产品收集入

侵告警事件,然后在IBM的Tivoli
Aggregation and Correlation

Enterprise

Console(TEC)中设计分析模块

Components(ACCs),在Probe,Target,Source,Detail

target四个层次上对多元入侵和告警事件进行聚合和关联。告警的聚合和关联算
法主要是提取了告警数据的关键特征,基于告警Source,Target,Alert class三种

属性的不同组合条件,将告警汇集到不同的“情景(Situation)’’语义中;建立 了“重复(Duplicate)"和“因果(Consequences)"两种数据相关关系,合并告 警。这种聚合和关联算法使用通用判断规则,缺点是只能实现有限的关联和汇聚, 不具备不完全匹配和推理功能,不能识别复杂的网络攻击行为。 文献[141中MIRADOR系统针对基于IDMEF数据格式和关系数据库的告警 数据,提出了融合方法。通过提取和建立告警相似规则,使用基于规则的专家系 统推理方法,判断具有相似关系的告警,并汇聚成告警簇,生成全局综合性的告 警。该方法主要的难度在于提取和完善专家系统的推理规则库以及专家系统本身 的不足。 攻击计划是基于任务分解的层次结构,基于攻击计划和入侵者攻击行为集 合,系统提供基于根据已发现的行为和状态变化,进行未发现的行为假设,推断 入侵行为的完整轨迹,这种方法称为基于攻击计划的计划库直接的计划识别法 ‘281‘29¨301是。该方法的局限主要是攻击计划库的完备性设计以及庞大的的搜索 空间需求。 文献f15】中Staniford等人采用评估函数计算告警事件之间的相关强度,然后 生成事件相关图,从而比较直观的得到事件的汇集程度。但目前仅限于端口扫描
一种告警数据的汇聚处理

文献[25】【26]【27】中描述了基于攻击树的多个入侵行为和所引发的告警之间
的关联关系,希望实现一种有效的多层入侵检测机制。这种机制需要建立一个完 善的模式库,用以描述多层入侵行为特征的、积累完善的攻击模式,因此,攻击 树描述、攻击模式库结构设计攻击模式的发现和增加这两个问题仍需要进一步深 入研究。 ’文献[3l】[32】中提出了专家系统的方法。专家系统的方法是利用基于产生规 则的P.Best专家系统进行判断。该方法并不应用简单的判断规则和入侵步骤之 间的对应进行告警关联,而是基于入侵语义进行入侵检测检测。该方法的优点是 效率较高,缺点是存在规则完备性问题和难以推断未发现的入侵行为问题。 文献[33】提出了一种基于多维告警融合的攻击目的预测系统。该系统将受

13

北京邮电人学硕Ij学位论文

网络安伞管理中告警融合技术的研究

保护主机的系统状念告警作为另一证据源.将其与IDS告警一起先输入到贝叶 斯网络进行证据的可信度判断,去除误报告警,补足漏报告警,然后再使用完善 后的可信度相对较高的告警信息进行攻击目的预测。由于该系统能预先对源证据 进行补足完善.因此其相比于其他的目的识别系统能够更准确的识别出黑客攻击
目的。

文献[34】【35】【36】【37】[38】中提出了基于贝叶斯网络的告警融合机制,根据 不同告警的代价不同,引入了代价敏思想,预处理机制,贝叶斯网络学习思想, 因果关联思想等,利用贝叶斯网络来衡量不同告警价,给出了一种新的告警相关 算法,提高系统效率。 通过上面介绍可以看出,采用概率的方法难以揭示告警之间的关系,并且难 点在于需要找出先验概率,采用状态转移的方法需要对每种攻击进行关联,工作 量大,采用欧氏距离的攻击难于确定阈值。本文提出的先对告警进行分类,进而 基于有限状态自动机进行告警融合,通过分析历史告警数据库得到告警概率和相 关数据,最后根据有限状态自动机历经的状态和告警概率相关数据建立贝叶斯网 络,计算告警信度的方法,完整的解决了告警融合体系中的一些难题,同时具备 对新入侵行为的学习能力。





14

北京邮lU人学烦l:学位论文

嘲络安全管理中告警融合技术的研究

第三章基于有限状态自动机的告警融合
3.1

有限状态自动机
有限状态自动机(FSM--I’finite
state

machinen)是一种拥有有限数量状态的

计算模型。有限状态自动机的每个状态可以迁移到零到多个状态,由输入决定迁 移,可以表示为一个有向图。由于其由时序决定的状态转移过程以及确定的输出, 可以用来描述一个分步骤执行的入侵行为。 有限状态自动机是一个六元组(sO,S,∑,r,a,∞): sO是初始状态,它是S的元素。在非确定有限状态自动机中,so是初始 状态的集合。 S是状态的非空有限集合。 Z是输入字母表(符号的非空有限集合)。
r是输出字母表(符号的非空有限集合). 5是状态转移函数: 国是输出函数。


FSM的主要特点是:系统具有有限个状态,系统可以在不同的状态下完成 不同的规定的任务。系统输入的所有字符串都在∑空间上。系统在S状态(s∈S) 下,从输入字符串中依次读入字符,根据当前状态和输入字符转到新的状态。 用FSM检测输入单词是否为alert示例,依次读入输入字母,起始状态为start 状态,输入依次为a.1吒十t时,最终转移到StltCCes¥状态,若非,则立即转移到
elTOl"状态,检测中止。如入3.1所示:

图3-1有限状态自动机检测输入单词是否是alert 3.2

告警定义
利用巴克斯.诺尔范式定义简单告警以及复杂告警。 简单告警
<SimpleAlert>::=

<Alertld>,<AlertTypeld>,<Time>,<Source>,<ImformationList>,<RiskLevel>,<Confi

北京邮电人学颂I:学位论文

嘲络安全管理中告警融合技术的研究

dence>

复杂告警
<ComplexAlert>::=

.(0UertId>,<AlertTypeld>,<StartTime>,<EndTime>,<SourceList>,<
ImformationList>,<RList>,<RiskLevel>,<Confidence>

简单告警由一个七元组构成并唯一确定,该七元组包括:告警ID,用于唯 一确定一条告警,一般使用GUId保证告警在整个安全域的唯一性;告警类型ID, 标志告警的类型,是用于告警关联的关键字段,用以区分发生告警的设备类型, 告警类型,通常可以用一个六位字符串标识(AA.BB.CC),前两位表示告警产 生的设备类型(主机、防火墙等),中间两位表示告警大类(拒绝服务类攻击、 扫描类攻击、渗透类攻击、主机高危事件等),最后两位用于表示告警细类;告 警发生时间;告警来源,产生告警的设备;详细信息列表,不同类型的告警具有 不同数据结构的详细信息列表,如主机文件操作告警会包含操作者、文件名、操 作方式等信息,入侵检测事件会包含源地址、目的地址等信息;危险级别,告警 的严重程度;置信度,告警发生的概率由历史告警数据库统计得到. 复杂告警由一个九元组构成并唯一确定,该九元组包括:告警D;告警类 型D;告警开始时间、告警结束时间,标志从触发关联的第一条告警到关联结 束的最后一条告警的时间段;告警来源列表,指被关联的简单告警的告警来源的 集合;详细信息列表,被关联的简单告警详细信息的集合;参数表,高级告警融 合过程中使用的参数,如时间窗口;危险级别,告警的严重程度;置信度,告警 发生的概率,有历史告警数据库统计以及贝叶斯网络计算得到。 关于告警置信度的量化和计算将在第四章详细讨论,本章主要关注由简单告 警融合成为高级告警的过程,亦即用FSM融合的过程。
3.3

入侵事件与告警归类
IDS系统中对告警的分类一般是按照攻击方式分类,如木马类,蠕虫类,DDos

类,或以系统状态分类,如畸形流量类,流氓软件运行、发现RPC查询等。以
Snort为例: a)未知流量

检测到Xl



Open等事件,X“Open:攻击者通过XDM连接到运行X windows

服务器的远程主机上,并执行X windows应用程序,从而能够盗窃远程主机的数据 或控制远程主机
b)畸形流量

检测到一些错误流量,如检测到查看TI吓P根目录的命令,以及超过4000字节
的UDP数据包等

16

北京邮电人学硕l:学位论文

网络安伞管理中告警融含技术的研究

c1信息泄漏尝试

检测到有人探测web服务器的信息泄漏漏洞,如访问get32.eXe程序,Alibaba 的webserver的c西一bin目录存在get32.CXC这个程序,它允许入侵者任意执行一
条指令

d)检测到流氓软件运行 检测到流氓软件的运行,如IE浏览器启动时自动加载的组件,在网页上方或
后方弹出广告的软件等

e)拒绝服务攻击尝试 检测到分布式拒绝服务攻击工具mstream的handler和agent之间的通信等 f)试图获取系统管理员权限

该攻击行为包括后门攻击、杂项攻击、对smtp及pop3邮件服务器、邱服
务器、dns服务器及oracle数据库进行溢出攻击等,试图获得管理员的权限
g)木马活动

检测到木马活动,如检测到fucktrojan 1.2,a-311等木马的活动
h)检测到网络扫描

检测到各种类型的网络扫描活动,如SolarWinds IP扫描 依照这种方式分类告警,对于集成了防火墙,入侵检测、入侵防护、漏洞扫 描器等多类安全设备,并且兼具主机管理功能的网络安全管理系统来说,会带来 告警种类过多,分类复杂,在按照时序或者因果关系重构入侵场景,进行告警关 联时,必须将具体攻击方式进行排列组合,场景中任何一种告警发生变化,如试 图获取超级管理员权限变为试图获取普通管理员权限,都需要重新构建场景。采 取这种方式带来的工作量非常大。 针对网络安全管理系统,本文提出了依照告警来源.告警大类.告警细类划分 告警类型的方式。用一个六位字符串标识(AA.BB.CC)描述告警类型,前两位 表示告警产生的设备类型(主机、防火墙等),中间两位表示告警大类(拒绝服 务类攻击、扫描类攻击、渗透类攻击、主机高危事件等),最后两位用于表示告 警细类。 依照告警设备来源,将告警分为五类: i)主机设备事件(01) 根据主机的安全策略配置,主机安全代理软件检测到对主机、网络资源、外 部设备(含打印机)、文件的非法访问时,立即向安全管理系统上报的主机安全
事件。

ii)IDS设备事件(02), 入侵检测设备根据攻击检测集设置,监测到网络中发生的疑似攻击行为,向

北京邮电人学硕.I:学位论文

嘲络安伞管理中告警触合技术的研究

安管上报网络攻击事件。 iii)漏洞扫描设备事件(03) 漏洞扫描设备对主机进行漏洞扫描时,产生的高风险级别漏洞事件。 iv)防火墙事件(04) n其他网络安全设备事件(05) 其他网络安全设备上发生的告警。 依照攻击目的分类,将所有攻击划分为拒绝服务类,扫描类,渗透类,内网 高危类四大类。 拒绝服务类(龃):以使目标主机、服务器瘫痪为目的,可以是XFlood洪水 攻击,也可以是一些利用缓冲区溢出的攻击。 扫描类(bb):扫描网段内活动主机,获取主机是否开机、开启端口、服务、 操作系统等信息,一般是一次完整入侵活动的先导,时序上先于其他告警,因果 关系上先于其他告警。 渗透类(Cc):非授权情况下获得目标主机的控制权,往往是一次完整攻击 的最重要阶段,包括木马攻击,权限提升,日志操作等。 内网高危类(dd):内网流向外网的数据包含内网敏感字段或者机密信息, 或者内网主机之间发生攻击事件,往往是一次成功入侵产生的直接后果。 依照告警的具体类型不同,最后两位用于表示告警细类,如针对主机类告警: (1)用户登录事件(01) 用户登录主机时,自动产生主机登录事件。
(2)网络访问事件(02)

用户访问络资源时,自动产生网络资源访问事件。 (3)外设访问事件(03) 用户访问外设资源时,自动产生外设资源访问事件。 (4)文件访问事件(04) 用户操作文件资源时,自动产生文件资源访问事件。 (5)打印机事件(05) 用户打印文档时,自动产生打印机事件。 针对拒绝服务攻击:Land、Smurf,SYN.Flood等。

发现的扫描类告警(02bb01)_>主机设备发现的用户权限提升告警(01cc01)、 木马活动告警(01cc02)_>其他网络安全设备发现的机密数据泄露(05dd01)。
3.4

一次完整的入侵行为则可以依照此规则描述成这样一个事件序列IDS设备

告警过滤
正常运行的网络安全管理系统,一个工作周期中能够产生海量告警,这些告

北京邮电人学硕I:学位论文

网络安伞管理中告警融合技术的研究

警中存在着大量的重复告警,虚假告警、无效告警。重复告警,一次拒绝服务类 或者扫描类告警能够在短时间内造成IDS产生大量重复告警;虚假告警,基于 异常检测的IDS设备由于正常行为集合不够完整,由此产生的正常行为被误认 为告警;无效告警,一些被检测出来的入侵行为实际上对当前安全域没有危害,
如检测到某Windows病毒,而安全域内没有使用Windows操作系统的主机。因

此,需要设计一个告警过滤机制,减少系统中信息量低的无意义告警,提高告警 的有效性,为接下来的告警关联工作减少工作量。对于虚假告警,可定义规则进 行简单过滤,下面主要讨论重复告警和无效告警。 3.4.1告警归约 大量重复告警是网络安全管理中最常遇到的难题,来自于同一次SYN.Flood 攻击的告警事件可以达到数千条甚至更高,对管理员查看告警、处理告警提出了 严峻挑战,同时会对系统运行效率产生不良影响。

依据专家经验,选取告警归约的时间窗口△r,△r满足
V a∈A,j

a’∈A,有la’.Time.a.Time I<△r

A代表全体告警ALERT的一个子集,a,a’代表两个原始简单告警,a'.Time,

a.Time代表简单告警定义七元组中的告警时间属性。选定△r,就可以以当前
时间为起点t,以t+△T∞为时间终点,开始归约。

在指定的时间窗口内,选取简单告警定义七元组 <Alertld>,<AlertTypeld>,<Tune>,<Source>,<ImformationList>,<RiskLevel>,<Confi dence>中的某些属性作为归约条件开始告警归约,描述为:

【ao,aI,a2,..……砌=>aj迮;
归约条件应当依据具体的告警归约需求,选取不同的告警属性,如告警类型, 告警来源等。如针对xFlood洪水攻击,会短时间内产生大量相同源地址和目的
地址的告警,需要把a.ImformationList.SourcelP,a.ImformationList.DestIP作为

归约条件。针对内网的端口扫描告警,则需要把告警时间a.Time,告警源地址
丸ImformationList.SourceIP作为归约条件。


确定时间窗口和归约条件后,需要基于有限状态自动机设计告警归约机制。 告警归约器是一个简单的有限状态自动机,可设计为一输入二输出。简单告警 ao触发时间窗口选择器,选定时间窗口△T,并根据历史数据库中正常情况下该 类型告警的发生频率确定阈值n。告警归约器的状态集合S设定为{sl,s2,..….sn,
sn+1),△T内输入为ao至ai,i>_1,具有相同的<AlertTypeld>,时间范围为<Time>

至<Time+AT>,告警归约器触发后,i<=Il时,对应状态集合为{sI,s2,……sn), i>n时告警归约器状态为sn+l, 当时间到达△T后,依据状态判定输出。S∈{Sl,

s2,……sn),输出低危险级别初级复杂告警a_RE—Low,铲‰l,时输出高危险

北京邮电人学硕I:学位论文

网络安拿管理中告警融合技术的研究

级别告警a—RE_High。如图3-2所示:





图3-2事件过滤状态图x∈A

y萑A

timeout定时器超时

当输入X属于可以归约的告警集合时,自动机转移到下一个状态,当输入y 不属于可以归约的告警集合时,自动机保持原有状态,等待下一输入。当定时器 超出△T时,读取自动机状态,判断输出告警。 3.4.2有效性过滤 归约后的告警初步完成了重复信息的合并,极大的减少了告警数目,下一步 需要进行的是对无效告警的过滤。有效性过滤器也是一个可以表示为有限状态自 动机的过滤流程。首先根据需要过滤的告警类型<AlertTypeld>确定需要选择的过 滤器,然后按顺序对需要过滤告警属性依据当前状态进行判断。

针对某一次渗透类告警事件,首先判断目标主机是否开机,若否,则停止过 滤流程,自动机还原等待下一次过滤,若是,则转入下一状态;判断目标主机是 否使用受此类攻击影响的操作系统,若否,则停止过滤流程,自动机还原等待下 一次过滤,若是,则转入下一状态;判断目标主机是否开放相应服务,若否,则 停止过滤流程,自动机还原等待下一次过滤,若是,则转入下一状态;判断目标 主机是否开启相应端口,若否,则停止过滤流程,自动机还原等待下一次过滤, 若是,则转入下一状态;判断目标主机是否升级过相应补丁,若否,则停止过滤 流程,自动机还原等待下一次过滤,若是,则转入下一状态;判断网络是否采取 针对该类攻击的相应措施,若否,则停止过滤流程,自动机还原等待下一次过滤, 若是,则转入最终状态,生成最高级别告警,意味着这次攻击有很大可能完成。
如图3—3所示:

北京邮电人学硕lj学位论文

.网络安伞管理中告警融合技术的研究

图3—3告警有效性过滤流程

3.4.3告警过滤结构 告警过滤机制可以用如下结构图表示:

/∥鄹…。’告警过滤’帮一∥鼍”≯、
夕 沁.

二:……器≮
』上
有效性过滤

F \一一”一”//
、Ⅸ%∞※%《※%…㈣㈨qg∞∞*{《tt—
图3-4告警过滤机制图
21

北京邮l乜人学硕f:学位论文

网络安伞管理中告警融合技术的研究

原始告警产生后,依据告警类型进行告警过滤,或者先后进行归约和有效性 过滤,或者只进行有效性过滤,或者只进行归约。过滤结束产生中间告警,等待
与其他中间告警进行关联。 3.5

告警关联
一次完整的入侵行为通常由许多因果相关的同类型或者不同类型告警组成,

如:

(1)搜索局域网内的所有活动的计算机。 (2)搜索指定的某个计算机的共享资源。 (3)搜索所有计算机的所有共享资源。 (4)打开某个指定的计算机。 (5)打开某个指定的共享目录。 (6)将某个指定的共享目录映射到本地磁盘(映射网络驱动器)。 (7)在共享资源中植入木马。 (8)搜索计算机是否运行SQL Server服务器。 (9)进行SQL注入,取得更高权限。 (10)运行木马,窃取信息。 (11)删除日志,退出。 这样一次攻击会产生多种类型的告警事件,需要针对这次或者这类攻击重构 入侵场景,对不同告警进行关联,还原出一次完整的入侵过程,形成一个高危险
级别的告警等待处理。

3.5.1告警相互关系 不同告警之间按照他们的时序或因果关系,可分为顺序关系,并序关系,混 合关系,混乱关系四类。 顺序关系, VaEAi,b∈Aj,a:/:b,有a.Time<b.time,则a与b是顺序关

系,入侵场景由告警a,b串联而成,以此类推可扩展到多个告警事件。如图3.5:

图3-5顺序关系

并序关系,VaEAi,b∈Aj,a:/:b,有a.Time<=b.time,或者b.time<=a.Time, 则a与b是并序关系,a、b之间不存在严格的偏序关系,适合条件下可以同时 发生,入侵场景由告警a,b并联而成,可扩展到多个告警事件.如图3.6:

北京邮IU人学硕十学位论文

网络安伞管理中告警融合技术的研究

//一、、

弋.!:.厂+
//—\
图3-6并序关系

\\一//

~厂:、…. ~一C}…—’ U

混合关系,两个以上(不含两个)告警两两之间即存在顺序关系,也存在并 序关系,那么告警之间成为混合关系。大多数入侵行为产生的告警之间为混合关 系。如图3.7:

图3—7混合关系 混乱关系,统称无法以因果关系或时序关系确定的告警之间的关系,不在本
文讨论范围之内。如图3.8:

图3-8混乱关系

确定待关联的告警之间的关系后,进行自动机的构建,进行告警关联。 3.5.2基于有限状态自动机的告警关联模型 初级复杂告警产生后,进入事件关联层,触发一个或多个事件关联器(视与 该告警相关的关联规则),同时再次触发时间窗口选择器选定△T’。△T’内, 事件关联器输出中级复杂告警; 这里针对两告警顺序关系,在不超过时间△T’内,告警A发生,告警B随 后发生的顺序关系进行分析,给出有向图,并用伪代码实现。 此自动机所有可能情况为:

北京邮IU人学颂.I:学位论文

网络安伞管理中告警融合技术的研究

(1)A发生,△T’内,B发生。 (2)A发生,△T’内,B不发生。
(3)B先于A发生。 如图3-9



图3-9告警顺序关联状态图x∈A

y∈B

当告警A或B到达时,判断当前状态和状态转移,给出输出,如果没有告 警到达,则维持原状态,得到输出结果后,返回初始状态。
相关函数为AlertATOAlertB。
Class AlertATOAlertB{ Public AlertA

A:
B:

Public AlertB Public Int

state:

aTOb(alert);


aTOb(Alert

alert){

if【s—O){

if(alert-一A){
萨1; 启动定时器,设定时间△T’:


else

if(al归B){

s—O;

) )
else

if(al忙A){
不做任何事; }

if(s一-1){

24

北京邮IU人学硕l:学位论文

网络安伞管理中告警融合技术的研究

else

if(定时器超时){
s=0;

)else if(alert--一B&&定时器超时---一false){
s=O;

输出告警C:[AT B】; ) )
);

针对两告警并序关系,此自动机所有可能情况为 此自动机所有可能情况为: (1)A发生,△T’内,B发生。
(2)A发生,△T’内,B不发生。 (3)B发生,△T’内,A发生。

(4)B发生,△T’内,A不发生。
如图3.10所示:

图3-10告警并序关联状态图x∈A

y∈B

当告警A或B到达时,判断当前状态和状态转移,给出输出,如果没有告 警到达,则维持原状态,得到输出结果后,返回初始状态。 相关函数为AlertAANDAIertB。
Class

AlertAANDAIertB{
A: B;

Public AlertA Public AlertB

Public Int

state:

理中告警融合技术的研究

北京邮IU人学硕.I:学位论文

列络安伞管理中告警融合技术的研究

图3-11四告警的混合关系图

此自动机所有可能情况为:
(1)A发生,△T’内,B、C、D不发生。

(2)A发生,△T’内,B、D不发生,C发生。 (3)A发生,△T’内,B发生,C、D不发生。 (4)A发生,△T’内,B、C均发生,D不发生。 (4)A发生,△T’内,B、C、D均发生。
如图3.10所示:

图3-12告警混合关联状态图X∈A

Y∈B

2∈C

m∈D

当告警A到达时,判断当前状态和状态转移,给出输出,如果没有告警到 达,则维持原状态,得到输出结果后,返回初始状态。
相关函数为AlertAANDAlertB。
Class AlertATOAlertB f Public AlertA Public AlertB
Public AlertA Public AlertB A; B; C; D;

Public Int

state:

aTobcd(alert);

北京邮Il三人学颂I:学位论文

网络安伞管理中告警融合技术的研究


aTObcd(Alert ifi[s==O){

alert){

if(alert--=A){
s=1:

启动定时器,设定时间△T’;


else

if(alert---=-一B){
s-_o;

) )
else

i坟s芦1){ if(alert-一A){
不做任何事;


else

if(定时器超时){

s_O;

)else

if(al怍B&&定时器超时------false){

铲2;


else

if(al归C&&定时器超时m-false){
铲3;

> )
else

ifi[s一2){

if(alert=C){
s---4;

}else{ 不做任何事; ) )

else近s一3){

if(alert—B){
s-=4;

北京邮l乜人学硕Ij学位论文

网络安伞管理中告警融合技术的研究

)else{ 不做任何事;



else

i坟s—=4){

if(alert==D){
S_5;

输出告警

}else{
不做任何事;

3.5.

实例分析 以如下攻击过程为例,经过告警过滤,得到这次入侵相关的6个告警事件: a搜索局域网内的所有活动的计算机。 b搜索所有计算机的所有共享资源。 c将某个指定的共享目录映射到本地磁盘(映射网络驱动器),在共享资源中

植入木马。

d搜索计算机是否运行SQL Server服务器,进行SQL注入,取得更高权限。 e运行木马,窃取信息。
f删除日志,退出。

可得到,告警事件间为混合关系,逻辑图为如图3.13

图3—13入侵行为的告警逻辑图

按照逻辑图,构建有限状态自动机,如图3—14:

北京邮哇三人学硕卜学位论文

嘲络安伞管理中告警融合技术的研究

戈>冬父
‘厂i、


//

图3.14入侵行为的状态转移图

用伪代码实现:
Class AlertATOAlertB{ Public AlertA Public AlertB Public AlertA
Public AlertA A: B; C: D: E: F:

Public AlertA Public AlertA Public Int

state;

merge(alert);


merge(Alert

alert){

遗s—O){
if(alett--=A){
萨l; 启动定时器,设定时间△T’; )
else

if(al鳅=B){

s=O;

) )
else

if(al怍A){
不做任何事;

if【s—1){

北京邮I【1人学顾I:学位论文

网络安伞管理中告警融合技术的研究


else

if(定时器超时){

s=O;

)else

if(ale忙B&&定时器超时一---false){

s=2:


else

if(alerteD&&定时器超时:false){

s==4;

) )
else

if(s---一2){

if(alert----C){
酽3;

}else{ 不做任何事;



else

if(al归E){
s_5;

if【s—4){

}else{ 不做任何事;



else

if(s一---3){

if(alert==--E){
铲5;

)else{
不做任何事;



else

if(s一5){

if(alert==F){
s=6;

3l

北京邮I乜人学硕I:学位论文

网络安伞管理中告警融合技术的研究

输出告警;

)else{
不做任何事;

) ) );
3.6

告警融合系统结构
一个基于有限状态自动机的完整的告警融合系统,其结构如图3.15所示:

图3—15告警融合系统结构图

一条简单告警产生后首先触发事件过滤器,同时触发时间窗口选择器,在选 定的事件窗口ATl内,根据定义的规则进行告警规约和有效性过滤。告警规约和 有效性过滤可以只进行其中一项,如果都要进行则先进行告警规约,这一步骤称 为告警过滤。过滤后的告警称为中级告警。中级复杂告警进入告警关联模块,依 据定义好的规则进行告警关联,告警关联分为两个模块,基于有限状态自动机的 告警关联和依据关联结果利用贝叶斯网络计算告警信度。关联后的告警成为高级 告警,告警信息交由安全管理员处理,同时出存在历史数据库,为新的告警规 则定义和贝叶斯网络学习提供依据。
3.7

小结
分层实现的基于FSM的告警关联方案,对局域网络安全管理平台下种类繁

多,数量庞大的告警信息的关联技术进行了初步探讨,该方案实现简单,有较强 的通用性,但由于需要对关联规则进行定制,需要数据库中的历史数据足够丰富, 管理员要具备一定的安全管理知识和经验。由于告警数量庞大,种类繁多,各类 告警之间的相互关系并不确定,告警事件的发生、告警事件之问的关联程度也需

北京邮I乜人学硕I:学位论文

嘲络安伞管理中告警融合技术的研究

要遵循统计学规律,第四章中将就时间窗口的选择,告警的概率估计,关联后高
级告警的置信度进行讨论。

北京邮I乜人学颀l:学位论文

网络安伞管理中告警融合技术的研究

第四章告警融合的贝叶斯网络和告警信度
经过基于有限状态自动机的告警融合,可以得到一次入侵行为的关键步骤, 重构入侵场景。但是,需要融合的原始告警并不一定是百分之百确定关系的,也 就是说,A告警的发生不代表B告警一定发生,A、B告警先后发生不代表A、 B告警一定是逻辑相关,也存在着A、B各自独立发生,因为巧合都出现在了进 行告警融合的时问窗口内。因此,需要在基于有限状态自动机的告警融合基础上, 提出基于概率的告警信度概念,以表示融合后新告警的可信程度。根据重构的入 侵场景,可以构建相应的贝叶斯网络,计算最终得到的融合后告警的信度,提高 告警融合的可靠性。并且可以通过对历史告警数据库的学习,掌握新的入侵行为, 丰富告警融合的模型。
4.1
4.1.1

贝叶斯公式和贝叶斯网络
贝叶斯公式

贝叶斯定理(Bayes theorem),是概率论中的一个结果,它跟随机变量的条 件概率以及边缘概率分布有关。在有些关于概率的解说中,贝叶斯定理(贝叶斯 更新)能够告知我们如何利用新证据修改已有的看法。通常,事件A在事件B(发 生)的条件下的概率,与事件B在事件A的条件下的概率是不一样的;然而,这 两者是有确定的关系,贝叶斯定理就是这种关系的陈述。 设彳l,彳2,…,A以为样本空间Q的一个划分,且e(Aj)>o(卢1'2,...,刀), 尸(4IB)=
P(Aj)P(B I Aj)

,(产l,2,…,以).

(4.1J

∑P(Ar)P(B I彳,)
i=l

对于任何一事件曰(P(功>0),有 事实上,由条件概率的定义及全概率公式

啪旧=等
f=l

尸(B)=∑P(Ar)P(B I At).
于是 P(A』I

:=:一

一P(Aj)P(BI Aj) P(B)



(4.2)

(4.3)

B):≠丝丛堕丛
∑P(A r)P(曰l彳t)
f=l

(4.4)

泸1,2,…,玎)

北京邮lU人学硕Ij学位论文

网络安伞管理中告警融合技术的研究

如果一次有目的的入侵行为可以产生顺序关系的告警A和告警B,告警A 和告警B也可能作为互不相关的安全事件单独发生,则可以利用贝叶斯公式计 算告警A和告警B融合后的信度。 例如:经过对大量历史告警的统计(统计方法见后),得到告警A单独发生 的概率为30%;其中,作为有目的的进行某种入侵的必要步骤的A告警概率为 10%,记为P(A);无目的的普通告警A概率为20%,记为P(久);告警A不 发生的概率为70%,记为P(A'’);告警B单独发生的概率为20%,记为P(B), 此概率等于在无目的的普通告警A发生后告警B发生的概率,这种情况下,由 于告警A和告警B独立,有P(BIA')=P(B),同理,有P(BIA'’)=P(B); 在有目的告警A发生后告警B发生的概率为50%,记为P(BIA)。将告警A和 告警B融合后,计算此次告警A确实为有目的入侵,也即此次融合确实反映一 次入侵的概率为: P(AIB)=P(A)P(BIA)/[P(A)P(BIA)+P(A?)P(BlA?)+P(A,’) P(BIA'’)】
经计算得,P(AIB)约为21.7%。

4.1.2贝叶斯网络 对于简单顺序关系的告警融合可以使用贝叶斯公式计算,对于多元的混合关
系的告警融合则需要构建贝叶斯网络。

贝叶斯网络是一个有向无环图,由代表变量结点及连接这些结点的有向边构 成。可以将具体问题中复杂的变量关系在一个网络结构表示,通过网络模型反映 问题领域中变量的依赖关系。用数学符号表示一个贝叶斯网络模型如下‘39¨枷:
B=(V,E,P) 其中: V={Vl,V2,...Vn) E={ViVjIVi,vj∈V)

随机变量集合;
有向边的集合;

P-{P(VilVI,V2,...,Vi.1),Vi∈V)

条件概率分布集,即条件概率表;

变量可以是任何问题的抽象,用来代表感兴趣的现象、部件、状态或属性等, 具有一定的物理和实际意义。有向边表示变量之间的依赖或因果关系,有向边的 箭头代表因果关系影响的方向性(由父结点指向子结点),结点之间若无连接边表 示结点所对应的变量之间是条件独立的,其对应问题领域的定性描述。条件概率 表列出了每个结点相对于其父结点所有可能的条件概率,其对应问题领域的定量 描述。贝叶斯网络约定以结点Xi的父结点为条件,Xi与任意非Xi子结点条件独 立。概率值表示子结点与其父结点之间的关联强度或置信度,没有父结点的结点
概率为其先验概率。

北京邮I乜人学烦I:学位论文

Il畸络安令管理中告警融合技术的研究

贝叶斯学习理论将先验知识与样本信息相结合、依赖关系与概率表示相结
合,是数据挖掘和不确定性知识表示的理想模型。与数据挖掘中的其它方法如:

规则表示、决策树、人工神经网络等相比,贝叶斯学习理论具有下列优点: 贝叶斯学习能够方便的处理不完全数据。例如考虑具有相关关系的多个输入 变量的分类或回归问题,对标准的监督学习算法而言,变量间的相关性并不是它 们处理的关键因素,当这些变量中有某个缺值时,它们的预测结果就会出现很大 的偏差。而贝叶斯学习则提供了较为直观的概率关联关系模型。 贝叶斯学习能够学习变量间的因果关系。因果关系是数据挖掘中极为重要的 模式。原因有--在数据分析中,因果关系有利于对领域知识的理解;在干扰较 多时,便于做出精确的预测。 贝叶斯网络与贝叶斯统计相结合能够充分利用领域知识和样本数据的信息. 任何从事过实际建模任务的人都会知道先验信息或领域知识在建模方面的重要 性,尤其是在样本数据稀疏或数据较难获得的时候,一些商业方面的专家系统完 全根据领域专家知识来构建就是一个很好的例证。贝叶斯网络用弧表示变量间的 依赖关系,用概率分布表来表示依赖关系的强弱,将先验信息与样本知识有机结 合起来。 贝叶斯学习理论在数据挖掘中获得了成功的应用。对贝叶斯学习理论研究最 大的动力就是它在实际应用中的巨大作用和潜力。目前,贝叶斯学习理论已成功 地应用到智能用户接口、信息滤波、车辆自动导航、武器制导、医疗诊断、经济 预测和文本分类等诸多领域。 贝叶斯网络的建造是一个复杂的任务,需要知识工程师和领域专家的参与。 在实际中可能是反复交叉进行而不断完善的。面向设备故障诊断应用的贝叶斯网 络的建造所需要的信息来自多种渠道,如设备手册,生产过程,测试过程,维修 资料以及专家经验等。首先将设备故障分为各个相互独立且完全包含的类别(各 故障类别至少应该具有可以区分的界限),然后对各个故障类别分别建造贝叶斯 网络模型,需要注意的是诊断模型只在发生故障时启动,因此无需对设备正常状 态建模。通常设备故障由一个或几个原因造成的,这些原因又可能由一个或几个 更低层次的原因造成。建立起网络的节点关系后,还需要进行概率估计。具体方 法是假设在某故障原因出现的情况下,估计该故障原因的各个节点的条件概率, 这种局部化概率估计的方法可以大大提高效率。
4.2

告警事件概率
构建贝叶斯网络首先需要确定告警事件发生的概率,告警事件之间的相关度

等数据,如先验概率,条件概率,后验概率等。

北京邮}乜人学硕l:学位论文

网络安伞管理中告警融合技术的研究

4.2.1概率的频度解释

对一个安管平台中可能发生的各种类型的告警,如何确定某一种告警在某一 时间段发生的概率,是构建一个贝叶斯网络的首要任务,这里通过对主观解释和 频度解释的介绍,阐明本文所采用的量化告警概率的原则。 使用古典概型判断事件发生的概率需要满足两个条件,一是试验的样本点是 有限的,样本空间是离散的;二是样本点之间两两互不相容,并且具有等可能性, 以掷骰子为例,掷单个骰子的样本空间为{1,2,3,4,5,6),得到每一种结果 的可能均为1/6。古典概型显然不适合用于描述网络安全管理中的告警事件发生
的概率。

概率的频度解释,也即频率概型,是指:设Ai为联系于某随机试验的任意 事件,在相同条件下重复做n次试验,以m记在这n次试验中事件Ai出现的次 数,则称比值
f-=m/ll

为事件A在这n次试验中出现的频率。 随着试验次数n的增大,所讨论的事件Ai出现的频率逐渐趋向稳定,并在 某一常数值附近波动。依照人的生活经验,若事件Ai出现的可能性越大,则其 出现的频率越大,反之亦然。因此,可以定义事件Ai的概率为试验次数11趋于 无穷次时m与g的比值。这样获得的概率,理论上要求做无穷次试验确定概率,

实际中并不可行,但依照大数定律,”∞时,事件Ai的频率确实趋于事件Ai
的概率。

4.2.2告警事件概率和时间窗口 正常运行的网络安全管理平台下,存在着海量的告警数据,通过对大量原始 告警事件进行频率分析,获得各类告警的频率,在实验数据充足的情况下,即可 认为获得了各类告警发生的概率。 首先确定进行统计的时间窗口△r瞰。由于告警事件的分布规律在不同的时 间段有不同的特征,△T1姒的选择应该按照不同的时间段加以统计,如,统计
300天时间内的19:00到23:00这一时间段,这一时间段一般为网络行为多发

时间段,或者某病毒发作的时间区域,如黑色星期五病毒,在两年内13日同时 是星期五的二十四小时内进行统计。确定时间段后,研究这一时间段发生所有告 警的时间间隔,选取两个相邻的告警之间的时间间隔△T,使AT>=AT’(△T’ 表示其他同一时间段内任意相邻两个告警的时间间隔),则可以得到△Tml=△T+ 乏,毛代表一个远小于△T的时间段。 在进行统计的时间段[Ti,T2]I勾,有

VT∈【Ti,T2】,T+T一∈【Tl,T2】

北京邮电人学颂.I:学位论文

嘲络安伞管理中告警融合技术的研究

|a,a∈A,T<a.Time<T+T““

即,在时fBJ[T,T+T一】内,必有告警发生:
P(A)=l

选定时问窗口TlI姒后,把统计时问区间分成T嘲x长度的连续时间段,时间 段个数记为n。针对某一类告警Ai,统计存在告警a4EAi的时间段的个数,记为 m,得到比值m/n即为告警Ai的频率,亦即Ai的概率P(Ai)。
P(Ai)满足:

1)对任意事件Ai,有O≤P(Ai)≤l; 2)P(A)=1,P(巾)=O;A为全体告警事件的全集;

p(U。i-。4㈣=U二。p(4 I曰)
3)若有限多个事件Al,A2,…。An两两互不相容,则有 对两个告警Ai,Ai,统计他们的条件概率P(Ai IAi),则应取每次aaEAi发 生后T瑚x时间段内,有锄∈Ai发生的时间段的个数,记为m,aiE Ai发生的次数
记为n,则比值m/n就是P(Aj IAi)。

分别统计P(Ai),P(Aj),P(Ai IAi),若得到P(Aj)约等于P(Aj IAi), 则可以说Ai、Ai相互独立,反之,则可证明Ai、Ai存在相关性。 4.2.3告警信度 经过对大量历史告警的统计,得到告警A单独发生的概率为30%;其中, 做为有目的的进行某种入侵的必要步骤的A告警概率为10%,记为P(A);无
目的的普通告警A概率为20%,记为P(A,);告警A不发生的概率为70%,记

为P(A,’);告警B单独发生的概率为20%,记为P(B),此概率等于在无目的 的普通告警A发生后告警B发生的概率,这种情况下,由于告警A和告警B独 立,有P(BIA')=P(B),同理,有P(BIA'’)-P(B);在有目的告警A发生 后告警B发生的概率为50%,记为P(BIA)。将告警A和告警B融合后,计算 此次告警A确实为有目的入侵,也即此次融合确实反映一次入侵的概率为: P(AIB)=P(A)P(BIA)/[P(A)P(BIA)+P(A?)P(BIA')+P(A?’) P(BIA'’)】 经计算得,P(AIB)约为21.7%,这一概率即为融合后的告警信度,反映被融合 的告警确实来源于一次有意图入侵行为的可能性。 两个告警的告警融合可以用贝叶斯公式计算告警信度,多个混合关系的告警 则需要用贝叶斯网络计算告警信度。
4.3

针对入侵行为的贝叶斯网络建模
贝叶斯网络能够发现变量之间的相互关系,实现了贝叶斯定理的学习功能,

北京邮l乜人学硕f:学位论文

pb9络安伞管理中告警融合技术的研究

是分析数据,进行预测的有力工具。贝叶斯网络是一个有向图,以图形方式表示 表示随机变量问相关的原因,并通过指定的一个小的与邻接节点相关的概率和非 根节点概率构成一个集。有向图中的弧表示父节点和子节点之间的依赖关系。这 样,当随机变量的值变成可知时,就允许把它吸收为证据,根据这个证据就可以
计算出其他随机变量条件值。

在利用有限状态自动机融合了一组告警之后,可以得到自动机的有效输入和 历经状态。记录有效输入和状态转移,可以得到一次融合中各个告警的时序或因
果逻辑如,如图4-1:

图4-1一次入侵的告警因果逻辑

基于此图可以建立贝叶斯网络。 4.3.1告警概率采集 不确定性推理是人工智能研究的重要课题之一。使用概率方法进行不确定性 推理就是:(1)把问题用一组随机变量X={Xl,X2,……Xn}描述;(2)把关于 问题的知识表示为一个联合概率分布P(x);(3)按照概率论原则进行推理计算。 如图XX给出的时序逻辑关系,存在四个随机变量x寻{A,B,C,D)。首
先统计四个随机变量各自的先验概率,

确定进行统计的时间窗口△T嘲。选定统计概率的时间范围,如,统计300
天时间内的19:00到23:00这一时间段,研究这一时间段发生所有告警的时间

间隔,选取两个相邻的告警之间的时间间隔△T,使AT>=AT’(△T’表示其他

同一时间段内任意相邻两个告警的时间间隔),则可以得到△T一=△T+毛,毛代
表一个远小于△T的时间段。 使在进行统计的时间段[Tl,T2】内,有

VT∈【Tl,1"2】,T+T懈∈【Tl,T2】
刍a,aEA,T<a.Time<T+T删瓿

选定时间窗口T’眦后,把统计时间区间分成T。嗽长度的连续时间段,时间 段个数记为n。针对某一类告警Ai,统计存在告警ai∈Ai的时间段的个数,记为 m,得到比值m/n即为告警Ai的频率,亦即Ai的概率P(Ai)。 这样可以得到四个随机变量的先验概率P(A),P(B),P(C),P(D)。

北京邮IU人学颂I:学位论文

网络安伞管理中告警融合技术的研究

选定时序逻辑图上的告警事件节点,由于一次入侵行为可以认为是依照步骤 执行,则可近似认为每一个告警的发生只与和他相邻前一个告警(顺序关系)或 者几个告警(并序关系)存在相关性即P(DIC,B,A)=P(DlC)或者P(DIC, B,A)=P(D[C,B)。 对两个告警A,Ai,统计他们的条件概率P(Aj忪),则应取每次aiEAi发 生后T眦。时间段内,有ai∈Ai发生的时间段的个数,记为m,ai∈Ai发生的次数 记为n,则比值m/n就是P(Ai IAi)。 由此得到条件概率P(BIA),P(CIA),P(DIB),P(DIC),P(DIB,C)。
4.3.2基于因果关系建立贝叶斯网络

贝叶斯网是一个有向无圈图,其中的节点代表随机变量,节点间的边代表变 量之间的直接依赖关系。如果从节点A到节点B有一条边,那么称A为B的父 节点,而B为A的子节点,一个节点的所有父节点和子节点称为他的邻居节点。 没有父节点的节点称为根节点,没有子节点的节点称为叶节点,一个节点的父节 点和父节点的祖先节点组成一个节点的祖先节点,一个节点的子节点和子节点的 后代节点组成一个节点的后代节点。每个节点都附有一个概率分布,根节点A 所付的概率分布是他的边缘分布P(A),而非根节点B所附的概率分布是条件 概率分布P(BI兀(B)),耳(B)代表和B直接相关的变量集合。 贝叶斯网络的构造方法有两种,一种是通过咨询专家手工构造,另一种是通 过数据分析来获得,本文所采用的根据有限状态自动机的融合结果构造贝叶斯网 络属于通过咨询专家手工构造的方法。 按照如下方法确定贝叶斯网络结构: (1)选定一组刻画问题的随机变量{Xl,X2,….,Xn);

(2)选择一个变量顺序a《Xl,X2,….,Xn>;
(3)从一个空图出发,按照顺序Q逐个将变量加入‘中; (4)加入变量xi,‘中的变量包括Xl,X2,….,Xi小 a)利用背景知识,在这些变量中选定一个尽可能小的子集耳(Xi),使得假 设“给定Ⅱ(Xi),Xi与‘中的其他变量条件独立"合理; b)从Ⅱ(Xi)中的每个节点添加一条指向Xi的有向边。

以图4.1为例,首先选定一组随机变量{A,B,C,D',然后按照顺序Q《A,
B,C,D>将变量添加到图中,依次选择靠(Xi),添加有向边,如图4_2所示:

40

北京邮I乜人学硕J:学位论文

嘲络安伞管理中告警融合技术的研究






。//、\

II

III IV

图4_2贝叶斯网络的构造过程 这里我们选用因果关系来构造贝叶斯网,是因为在实际应用中,因果关系往 往使得网络结构简单,而且易于计算。 最后,确定贝叶斯网参数,也即各变量的概率分布,添加到图上,得到贝叶
斯网络,如图4.3:

41

北京邮}乜人学硕l:学位论文

纠络安令管理中告警融合技术的研究

B A P(B A Y Y O.9 N Y O.1 Y N O.95 N N 0.05

f A)
7 3 0l 99

N Y



0.06 0.29 O.7l o.OOl o.999

Y N Y N N Y

Y N N N N N

图舡3贝叶斯网络

4.3.3计算告警信度 已知告警关联贝叶斯网络中最终事件D的取值(Y或者N),推断网络中其 他点,如A、B、C的后验概率分布,所得结果即为这些点的告警信度,对于一 个完整的告警事件链条,其中各点的后验概率中最大的点的信度可已被称为最大 信度,后验概率概率最小的点的信度可已被称为最小信度,在实际工程中需要根 据实际需要确定采用哪个值,在这里建议选取告警事件链条中最关键的一个事件 的信度或者最关键的几个事件的均值作为告警融合的信度。

对如图¨的的告警融合贝叶斯网络,使用消元法计算各点的后验概率,以
计算C点为例。

图4-4告警融合消元示意图
42

北京邮电人学顾’I:学位论文

1)c)j络安伞管理中告警融合技术的研究

设变量的消元顺序为(A,D,B,E),联合分布分解为ea={P(A),P(B), P(C),P(DIA,B),P(EiB,C),P(F=OID,E))。消去A,得到巾={P(B),
P(C),P(EIB,C),P(F=0ID,E),v i(B,D))。1l,I(B,D)--E AP(A)

P(DlA,B)。继续消去D,得到由={P(B),P(c),P(EIB,C),1l,2(B,E))。
1Ir2(B,E)=∑oP(F=0 HD,E)1I,l(B,D)。消去B,得到巾={P(C),
1l,3

(C,E)),1lr 3(C,E)=∑aP(B)P(EIB,C)1lr2(B,E).最后消去E,得

到巾={P(c),1lr4(C)>,tit4(C)=∑E 1If3(C,E)。计算h(C)=P(C)1lr
?(C)。P(ClF-y)=h(C)/E Ah(C)。

其他各点分布同理处理。
4.3.4实例分析

由3.5.3提出的入侵行为过程,通过有限状态自动机进行告警融合,并建立
贝叶斯网络。

a搜索局域网内的所有活动的计算机。 b搜索所有计算机的所有共享资源。 C将某个指定的共享目录映射到本地磁盘(映射网络驱动器),在共享资源中
植入木马。

d搜索计算机是否运行SQL Server服务器,进行SQL注入,取得更高权限。 e运行木马,窃取信息。
f删除日志,退出。

进行告警融合后,建立因果关系图,如图4.5:

图4.5入侵行为的告警逻辑

选定一组随机变量{A,B,C,D,E,F),按照顺序n《A,B,C,D,E,
F>将变量添加到图中,依次选择Ⅱ(Xi),添加有向边,得到网络结构图4—6:

43

北京邮电人学顾l:学位论文

网络安全管理中告警融合技术的研究

图4-6入侵行为的贝叶斯网结构

确定与Xi直接相关的嚣(Xi),用于统计条件概率

确定进行统计的时间窗口△T一。选定统计概率的时间范围,选取两个相邻
的告警之间的时间间隔△T,使AT>=AT’(AT’表示其他同一时间段内任意相 邻两个告警的时间间隔),则可以得到△T啦x=△T+毛,毛代表一个远小于△T的
时间段。

使在进行统计的时间段[Tl,T2]r勾,有

VTE[Tl,T2】,T+T眦∈【Ti,T2】

ja,墨∈A,T<a.Time<T+T峨 选定时间窗口T一后,把统计时间区间分成1rn姒长度的连续时间段,时间
段个数记为n。针对告警A,统计存在告警aEA的时间段的个数,记为m,得 到比值m/n即为告警A的频率,亦即A的概率P(A)。 用同样方法可以得到得到六个随机变量的先验概率P(A),P(B),P(C),
P(D),P(E),P(F).

选定时序逻辑图上的告警事件节点,由于一次入侵行为可以认为是依照步骤 执行,则可近似认为每一个告警的发生只与和他相邻前一个告警(顺序关系)或 者几个告警(并序关系)存在相关性即P(DiC,B,A)-P(Die)或者P(DIC, B,A)=P(DIC,B)。

北京邮电人学颂l:学位论文

l勾9络安伞管理中告警融合技术的研究

对两个告警Ai,Aj,统计他们的条件概率P(Aj IAi),则应取每次ai∈Ai发 生后T眦‘时间段内,有aj∈Aj发生的时问段的个数,记为m,aiEAi发生的次数 记为n,则比值m/n就是P(Aj IAi)。

依据因果关系图,由此得到条件概率P(BIA),P(CIB),P(DIA),P(EIC, D),P(FIE)。把参数填入结构图,得到贝叶斯网络,如图4-7:

图4.7入侵行为的完整贝叶斯网络 用消元法计算贝叶斯网络的告警信度,得到:P(AIF=y),P(BtF=y),P (CIF=y),P(DIF=y),P(EIF:y)。根据经验,确定事件A、E为告警链条中的 关键事件,则取P(AIF=y),P(ElF=y)的均值作为告警融合的信度。

4.4

入侵行为学习
根据上述的告警融合系统,可以依据专家经验建立有限状态自动机,并手工

建立贝叶斯网络。建立成功的融合体系具有良好的告警融合灵敏度,并且能够对
告警融合可信程度给出概率描述。

对于未曾学习过的新攻击场景,此系统也具有一定的学习能力,可以弥补专 家系统的不足。系统学习新的入侵情景的过程如下: a)搜寻历史告警数据库中的未被融合的高危险级别告警A new,这类告警

45

北京邮I乜人学硕l:学位论文

列络安伞管理中告警融合技术的研究

一般来自于主机或者服务器,属于渗透类告警或者信息泄露类告警,通常是一次 入侵行为的最重要目的,也是一次入侵接近完成时发生的告警。
b)选定学习时I’日J范围,以A new为时间终点,在学习时间范围内,选定时 间窗口△TH姒。

c)按照时问窗口△T嘲x统计时间范围内的各类告警事件的概率P(Xi)。 d)统计整个历史告警数据库内的这些告警的概率P’(Xi); e)比较P(Xi),P’(Xi),差值超过一定值的告警Xi即可认为属于有关告 警范围,进入需要学习的告警集合V。 f)统计llJ中变量的时序关系,相关度的,估计因果关系。 g)按因果关系构建入侵情景,进而设计有限状态自动机,构建贝叶斯网络。 这样构建的告警融合模型,随着历史告警数据库的不断增长,会具有越来越 高的准确性和适应性,能够弥补专家系统的不足,并随着告警融合系统的运行而 不断自我完善。
4.5

小结
本章介绍了贝叶斯网络的概念,并提出了在确定了有限状态自动机之后建立

贝叶斯网络描述告警融合概率的机制。 采用贝叶斯网络融合告警信息,能够给出计算出融合后的告警信度,描述融 合的可信程度。这种机制的难点在于确定各类告警的概率,条件概率,需要数据 量庞大的历史告警数据库的支持,但随着系统的不断运行和数据库的丰富,有效 性和可靠性将会不断提高,是依靠有限状态自动机的告警融合系统的重要补充。

北京邮I乜人学硕l:学位论文

嘲络安伞管理中告警融合技术的研究

第五章告警融合机制的实现与分析
在一个局域网络安全管理系统中,定义告警关联规则,对数据库中的告警数
据进行告警融合。

网络拓扑结构如图5-1所示:
NS崩S 192.1 68.10.198

漂羧

秘盎没嚣(7≯。。

弼储竣备

下级系统 (2)

蕾缀设备

安全谈笛(2)


一,。

鬻.,,.固
1 .1 681 .1.1 98 '92.1 68.1 0.200




nsms.,一瓤92



碍髂跛备

榜轰竣器 (2)毒钒浚笛(t)下缀系统(')安垒没器(10)

‘。鬻

图5-1实验告警融合机制的网络环境 网络分为两级三个子网进行管理,部署主机设备35台,安全设备12台, 包括病毒服务器,防火墙,入侵检测设备,网闸,漏洞扫描器,补丁服务器,一 体化安全防护设备七个大类。共计85类事件类型,具体事件类型见附录。安全
事件统计数据如表5-1所示:
表5-1告警事件统计表

类型 用户登录 网络访问 打印事件 外设异常 NetHawk防火 墙策略修改 NetHawk防火 墙被旁路 低危险漏洞

数量
64 377 9 0

危险级别
0 1 1 2 3

类型

数量
1446 988 11

危险级别
0 1 3

文件操作 外设访问 非法外联
NetHawk

0 1



防火墙日 志


0 79 1

中危险漏
47

34



北京邮电人学颂Ij学位论文

嘲络安全管理中告警融合技术的研究



高危险漏洞
SNORT事件
NTOP

3 44 7884 15 1 2 6 0 0 5 3 3 0 3 3 0 1 0 0 0 3

漏洞扫描 同志

2 2878 355 0 0 0 3



ULOG事件 实时链接
IP冲突

流量异常

安全评估
snort策略修 改

ulog策略

修改
状态报告 联想防火 墙日志





一体化被旁路
扫描报告

0 1



联想防火墙策 略修改
联想防火墙被 旁路 瑞星上报病毒







启明入侵 检测基本 信息
启明入侵 检测中风 险

0 1

启明入侵检测 低风险 启明入侵检测

1 15122

2 903

高风险
网闸日志

784 0 l 68 0 3 0 0 3



网闸事件
网闸被 旁路 天融信防 火墙同志 天融信防

24







补丁统计信息
天融信防火墙 策略修改 天融信防火墙 被旁路

1 0 0



火墙主备
切换


天融信IDS基 本信息
天融信IDS中 风险

天融信IDS 低风险
1050



7552

2 335

天融信IDS 高风险

3 47

针对机密信息泄露,以文件操作事件为关键敏感事件,定义如下告警融合
规则:

选取统计时间段为6:00至20.-00,告警事件概率统计时间窗口选取为5 分钟,告警过滤时间窗口选取为5分钟,告警关联事件窗口选取为2小时。选择 如下五类事件进行告警融合,事件间为时序关系或因果关系。

北京邮电人学顾l:学位论文

嘲络安伞管理中告警融合技术的研究

A扫描事件一由入侵检测设备(snort设备,启明入侵检测设备)报告,针对 同一网段主机的丌机情况,端口情况进行扫描.这类事件数量庞大,需要进行告
警过滤。

B主机类事件、病毒类事件一植入木马由主机安全代理或者病毒服务器上
报。

D主机用户事件一SQL注入,取得更高权限,用户登陆或用户权限提升,由
主机安全代理上报。

E主机文件操作事件一运行木马,窃取信息,由主机安全代理上报。。
F主机设备,安全设备日志事件~删除日志,退出,由相关设备上报。

告警融合中文件操作事件只针对特定文件名或扩展名的文件操作进行融合, 实际运行后得到融合后高危险告警2次,涉及存储在主机上的机密文件,以初级 告警事件B、E为关键事件,得到两个融合后的高危险告警信度分别为O.35,0.45。 通过如上实验可以看出,在海量的告警数据中,利用基于有限状态自动机和 贝叶斯网络的告警融合机制,适当定义告警融合规则,可以使管理员及时关注到 最敏感的信息,极大地精简了告警数据量和管理员工作量。

北京邮I乜人学顾I:学位论文

网络安全管理中告警融合技术的研究

第六章总结与展望
近几年,入侵检测技术有了长足的进步,但是随着计算机技术的飞速发展及 网络规模的不断扩大,入侵检测系统自身的局限性也逐渐显现出来,如IDS的 速度瓶颈,大量漏报和误报,缺乏主动防御能力等。于是将入侵检测技术与主动 防御技术相结合的入侵防御系统IPS应运而生。虽然IPS结合了主动防御技术, 但作为串联在网络中的部件,很容易成为网络的瓶颈,而且还具有产生大量误报, 缺乏全局管理等缺陷。IMS就是在这种情况下提出的。入侵管理系统(IMS)能 够是想对入侵攻击的全面管理,具备有效监测,主动防御,易于管理、节约成本

北京邮电人学硕l:学位论文

网络安拿管理中告警融合技术的研究

参考文献
[1]中国互联网络发展状况统计报告(2009年1月),中国互联网络信息中心. [2]2009年上半年中国大陆地区互联网安全报告,瑞星公司. [3]沈亚敏,IDS中告警关联分析引擎的研究,[硕士学位论文],湖南大学,2006
年5月. [4]K.Julish.Clustering
analysis. ACM intrusion detection alarms to support root
on cause

Transactions

Information

and

System

Security,2003,6(4):443—471.

[5]朱旭,入侵检测系统中告警融合机制的研究,[硕士学位论文],北京邮电大
学,2008年2月.

[6]阎慧,基于警报技术的入侵检测技术研究,[博士学位论文],北京理工大学,
2003年7月. [7]Alfonso V,Keith S.Probabilistic
4th International Symposium
on

Alert

Correlation[C].Proc.of
Advances in

the

Recent

Intrusion

Detection.Springer—Verlag,2001.

[8]彭雪娜等,网络安全信息关联与分析技术的研究进展,计算机工程,第32
卷第17期,2006年9月.

[9]唐勇等,一种基于FSM的告警事件关联方法,计算机应用研究,2006年第九
期. [10]Benjamin
M,Herve D. Correlation of Intrusion the 6th

Symptoms:An
International

Application Symposium
on

of

Chronicles[C].Proc.of
Advances in

Recent

Intrusion Detection,Pittsburgh.

[11]Steven

C,Ulf

L,Martin F.Modeling Multistep Cyber Attacks for of

Scenario

Recognition[C].Proc.

Third

DARPA

Information

Survivabi l i ty Conference and Exposition,Washington,2003.

[12]H.Debar,A.wespi,Aggregation

and correlation of Intrusion-Detection
on

Alerts,In Proceedings of the Fourth International Sysmposium
Recent Advanced in Intrustion

the

Detection(RAID’2001),LNCS2

’212,2001,pp85—103.

[13]李家春,入侵检测的分级告警关联理论和技术研究,[博士学位论文],华中
科技大学. [14]F.Cuppens,Managing
Environment,In Alert and Multi—Intrusion Detection

17th

Annual

Computer

Security

Applications

Conference New—Orleans,New—Orleans,USA,December 2001.

51

北京邮电人学硕.I:学位论文

网络安全管理中告警融合技术的研究

[15]

Stuart

Staniford

etc.Practical

Automated

DetectiOil

of

StealthyPortscans,SiliconDefense,Http://删w.silicondefense.com/s oftware/spi ce/i ndex.htm. [16] S.Kumar
and E.spaford,An Application of Patern Matchingin Intrusion of

Detection,Department

Computer

Sciences,Purdue

University,CSD-TR一94—013,Coast TR 94—07,1994.

[17] S.Kumar,Classofication

and Detection of Computer of

Intrusions,[PhD
Sciences,Purdue

Oissertation],Department
University,,August 1995. and

Comptter

[18] M.slagell,The
Intrusion

Design

Implementation

of

MAIDS(Mobile Agent

Detection

System),[Master’S

Dissertation],Computer

Science Department,Iowa State University,2001.

[19] G.Helmer,J.Wong,M.Slagell,etc,Software
Petri
Net

Fault
and

Tree

and

Colored
of ACM

Based

Specification,Design
Detection

Implementation
to

Agent—Based
Transactions

Intrusion
on

Systems,Submited

Information and System Security(TISSEC).

[20] 王勇,状态网络入侵检测系统的设计和原型实现,[硕士学位论文],东北

大学计算机系,2002年1月.
[21] Helmer.G,Wong.J,Honavar.V,etc.,Automated
Predictive
Rules for Intrusion Di scovery of Concise

Detection.Technical

Report

TR9901,Department

of Computer Science,Iowa State University.

[22] Hofmeyr.S,A.Forrest,and
Sequences
of

Somayaji.A,Intrusion
Cal i s,Journal

Detection of

Using

System

Computer

Security,6(3):151 180,1998. [23] Jain.K
and Sekar.R,User—Level
Infrastructure for System

Cal l

Interposition:A Platform for Intrusion Detection and Confinement,In Proceedings Security of The Year 2000 Network

and

Distributed

Systems
- ●

Symposium(NDSS 2000).
and Pearlmutter.B,Detectings
Intrusions

[24] Warrender.C,Forrest.S



Using System Calls:Alternative Data Models.In Proceedings of the 1999 IEEE Symposium
on

Security and Privacy.

[25] 王晓程,刘恩德,谢小权,攻击分类研究与分布式网络入侵检测系统,计

算机研究与发展,V01.38,No.6,2001.
[26] T.Tidwel l,R.1arson,K.Fitch,Etc.,Model ing
Internet

北京邮lb人学顾l:学位论文

嘲络安伞管理中告警融合技术的研究

At tacks,Proceed i ngs

of

the

200 1

I EEE

Workshop

on

Informat i

on

Assurance and Security,2001,PP.54—59.

[27]庄朝辉,基于入侵树的多层次入侵检测及其在Linux上的原型,[硕士学位 论文],厦门大学,2002年5月.



[28]Mi ng—Yuh

Huang,Thomas M.Wi cks,A Large—scal e Di stributed Intrus i Framework Based
on

on

Detection

Attack

Strategy

Analysis,Technical

?●

Report,Boeing Company,Seattle,WA,U.S.A.

[29]C.Geib

and

R.Goldman,Plan
DARPA

Recognitionin

Intrusion

Detection and

Systems.In

Information 2001.

Survivability

Conference

Exposition(DISCEX),June [30]C.Geib

and R.Goldman,Probabilistic Plan

Recognition for Hostile AI

Agents.In

Florida

1 15

Research

Symposium(FLAIR),Key—West,U.S.A,2001Ulf. [31]Ulf
Lindquist and Phi 1 ip Porras,Detecting Computer Expert
on

and Network
Toolset

Misuse

Through

the
IEEE

Production’‘Based

System

(P-Best),In

Symposium

Scurity

and

Pri vacy,Oakland,U.S.A,1999.
[32]A.Mounji,B.Le
Charlier,Continuous
Assessment of


Unix

Configuration:Intergrating Intrusion Detection and Configuration Analysis,In ISOC’97 Symposium
on

Network and

Distributed System

Secur i ty,San Di ego,U.S.A,February,1 997.

[33]黄河,蒋兴浩,陈秀珍,李建华,基于多维告警融合的攻击目的预测系统, 微计算机信息,2008年第24卷第9-3期. [34]邓歆,盂洛明,基于贝叶斯学习的告警相关性分析,计算机工程,V01.33,
No.12,2007年6月.

[35]周榆,张大方,李湘峰,基于贝叶斯网络的因果告警相关方法研究,科学
- -

技术与工程,V01.5,No.13

2005.7



[36]秦拯,沈亚敏,基于贝叶斯网络的告警相关算法研究,长沙电力学院学报(自 然科学版),V01.20,No.3,2005.08 [37]周榆,基于贝叶斯网络的因果告警相关方法研究,[硕士学位论文],湖南大 学,2005年10月. [38]肖政,王建新,侯紫峰,韦卫,基于搜索树的告警高效聚类算法和Bayes 分类器的设计和研究,计算机科学,V01.33,No.08,2006
[39]39、
Russell.S,Norving.P,Artificial Intelligence,A Modern


北京邮£U人学颂f:学位论文

嘲络安伞管理中告警融合技术的研究

Approach[M].2nd ed.Prentice—-Hall.2003.

[40]40、张连文,郭海鹏,贝叶斯网引论,2006年11月第一版,科学出版社,
2006,P7-P37.







北京邮l也人学硕Ij学位论文

嗍络安伞管理中告警融合技术的研究

附录 告警事件类型
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42

用户登录 文件操作 网络非法访问 外设控制

打印事件
非法外联 外设异常 NetHawk防火墙策略修改 NetHawk防火墙日志 低危险漏洞 中危险漏洞 高危险漏洞 漏洞扫描日志

启明入侵检测基本信息
启明入侵检测低风险 启明入侵检测中风险 启明入侵检测高风险 联想防火墙策略修改 联想防火墙日志 天融信防火墙主备切换 瑞星上报病毒

网闸事件
网闸同志 网闸被旁路 补丁统计信息 天融信防火墙策略修改 天融信防火墙同志 天融信防火墙被旁路 非法外联(低风险)

统计事件
IP冲突

安全评估
扫描报告 状态报告

入侵检测
边界访问

流量监控 实时链接 实时流量
snort策略修改

Ulog策略修改
一体化被旁路

55

北京邮电人学硕}:学位论文

纠络安伞管理中告警融合技术的研究

43 44

入侵检测预处理器触发的告警 非可疑流量 未知流量

检测到包含1“10个请求的MS—SOL DNS查洵等事件,这有
检测到Xll Open等事件,Xll Open:攻击者通过XDM连

点异常,但不是攻击事件
45

接到运行X windows服务器的远程主机上,并执行X windows应用程序,从而能够

盗窃远程主机的数据或完全控制远程主机 46 畸形流量 检测到一些错误流量,如检测到查看TFTP根目录的命令,
以及超过4000字节的UDP数据包等

检测到有人探测web服务器的信息泄漏漏洞,如访问 get32.exe程序,Alibaba的webserver的c萨bin目录存在get32.exe这个程序,它 允许入侵者任意执行一条指令 档 信息泄漏 检测到间谍软件的运行,如IE浏览器启动时自动加载的
47

信息泄漏尝试

组件,在网页上方或后方弹出广告的软件等 49 大规模信息泄漏 50 拒绝服务攻击尝试 检测到分布式拒绝服务攻击工具mstream的 handler和agent之间的通信等)
5l 52 53 54 55 56 57 58

拒绝服务攻击成功

试图获取普通用户权限 获取普通用户权限失败
成功获取普通用户权限

试图获取系统管理员权限 成功获取系统管理员权限
检测到RPC查询

检测到shellcode可执行代码 检测到可疑字符串

检测到如

MS—SOL

shellcode,linux

shellcode等可执行代码

如检测到FTP格式化字符串,这是针对一些FTP 服务器(如HP/UX)的格式化字符串漏洞的攻击 ∞ 检测到可疑的文件名 攻击者发送一个恶意制作的文件附件
s9

(如.exe文件,.ini文件,.cpp文件)给用户,如果用户双击并查看这个文件,就会染上病
毒.如Bugbea r.B蠕虫病毒

使用可疑的用户名进行登录的尝试检测到远程使用root用户名进行登 录,或POP3暴力登录尝试等 62 检测到系统调用 检测到可疑的系统调用,如检测到有人试图对 oracle数据库执行系统命令
61 63 64

检测到TCP连接

木马活动

检测到木马活动,如检测到fucktrojan 1.2,a.311等木马的 检测到客户端使用反常的端口,这可能是一 检测到各种类型的网络扫描活动,如SolarWinds

活动

客户端使用异常端口 些病毒正在进行攻击活动 66 检测到网络扫描
65

IP扫描

检测到拒绝服务攻击 检测到针对FTP服务器的拒绝服务攻击等 检测到非标准协议 检测到使用非标准协议的通信,非标准协议包括: 端121为103的PIM,端口为55的IP Mobility,端口为77的Sun ND,端口为53的SWIPE
67



北京邮lU人学硕h学位论文

网络安令管理中告警融合技术的研究


69

普通的协议命令解码

检测到探测Microsoft

RPC

DCOM漏洞的尝

试等
70

访问有潜在漏洞的Web应用程序

检测到有人探测网络应用程序

的潜在漏洞,如对web站点的phptest.php,modules.php文件的可疑访问,这些文件
包含潜在的漏洞
71 Apache 72

Web应用程序攻击 杂项网络行为

检测到针对web服务器漏洞的攻击,如针对 检测到各种混杂的攻击行为,如检测到针对MS.SOL

Tomcat/servlet/mapping跨站点脚本漏洞的攻击)

缓冲区溢出漏洞的攻击尝试)
73

杂项攻击 检测到针对各种缓存区溢出漏洞的攻击或RPC攻击,如检 测到针对MYSQL客户端或SSH服务器的缓存区溢出攻击
普通的ICMP事件 检测到数据包携带色情信息 可能违反公司的规定 以默认的用户名和密码登录

74 7S 76

检测到有员工使用ICQ,MSN聊天工具或p2p 检测到有人试图以默认的用户名和密码

工具
77

登录web服务器或者有入在探测web服务器的交互的story目录遍历漏洞
78 79 80 81 82 83

漏洞扫描报告生成
联想防火墙被旁路 NetHawk防火墙被旁路 天融信入侵检测基本信息 天融信入侵检测低风险 天融信入侵检测中风险


85

天融信入侵检测高风险 全盘扫描

北京邮电人学顾l:学位论文

}I)j络安伞管理中告警融合技术的研究





在本论文完成的过程中我得到了身边很多人的关心和帮助,是他们给了我灵 感给了我支持与鼓励,我心里充满着无尽的感动,请允许我这里对他们表达我最 真挚的谢意。 首先我要感谢我的父母,是他们一直在给我关怀与鼓励,是他们一直陪伴着 我成长,是他们与我分享每一次的快乐与感动,给我最及时的支持与鼓励,这篇 论文也献给他们,希望我的努力能让他们感到欣慰,感到开心。 其次我想感谢我所在中心以及中心的老师们,中心给我提供了一个成长的平 台,在这三年中我学到了很多。感谢我的指导老师谷利泽老师,郑世慧老师,导 师张茹老师,是他们给我指出了正确的方向,并在平时的工作中给了我锻炼的机 会,并在我犯错误的时候给了我宽容,通过这三年的经验积累,我充满信心的走 向将来的工作岗位,我想自己会谨记这里的每一次教诲,在新的工作岗位上作出 更大的成绩,我深深感谢他们。 感谢实验室的师兄们给我每一个指导,感谢葛海慧博士,刘志辉博士,安宝 宇博士,郝斌博士,他们出色的工作给我树立了良好的榜样。感谢李佳纶师兄对 我论文的具体指导,感谢朱旭师兄将他以前的论文拿与我参考。 我感谢与我一起生活学习的同学们。他们是胡鸿鹄,赵永胜,杨强,徐晓东, 陈波,李勇,丁云亮,陈晨,郭玲玲,梁彬彬。我感谢他们对我生活与学习上的 帮助。感谢他们在我犯错误的时候帮我勇敢的改正,感谢他们对我工作的支持与 配合,能够与他们一起前行,我感到无比的高兴。 同时我也感谢实验室中与我一同成长的师弟师妹们,他们在我的论文写作过 程中做了很多工作,他们分别是卢红英,郭瑞倜,谢巍,杨少鹏,李楠,合松, 任小寅、李乐乐、刘云鹏、彭钊、刘晋,刘超等。与他们能够一起工作学习,我 感到十分高兴,在他们身上我也学到了很多。也希望他们能够更进一步,争取好
的发展。

书不尽言,要感谢的人太多太多,希望在以后的日子里每个人能够在自工作 岗位上做出更大的成绩!

北京邮I【1人学顾Ij学位论文

网络安伞管理中告警融含技术的研究

作者攻读学位期间发表的学术论文目录
【1】闫斌,谷利泽,张茹.一种基于有限状态自动机的分级告警关联设计方案一一 第十四届全国青年通信学术会议论文集.2009.

网络安全管理系统中告警融合技术的研究设计
作者: 学位授予单位: 闫斌 北京邮电大学

本文读者也读过(10条) 1. 朱旭 入侵检测系统中告警融合机制的研究[学位论文]2008 2. 周杰 网络攻击预警系统的研究、设计与实现[学位论文]2010 3. 王莉 网络多步攻击识别方法研究[学位论文]2007 4. 王海 从软件管理谈信息网络安全[会议论文]-2010 5. 李金罡 网络安全事件关联引擎的研究与设计[学位论文]2010 6. 吴萍.朱东来.Wu Ping.Zhu Donglai 网络告警关联规则挖掘系统的研究与设计[期刊论文]-计算机应用与软件 2008,25(3) 7. 王泽平 入侵检测告警相关部件的设计与实现[学位论文]2007 8. 沈晓虹 基于TMN标准的PHS网管系统的设计与实现[学位论文]2008 9. 陈刚 基于TMN的网络综合管理协议的应用[期刊论文]-电脑知识与技术2009,5(33) 10. 陈元清.郑宏伟.Chen Yuanqing.Zheng Hongwei 通信互联网综合网管系统的设计与维护[期刊论文]-价值工程 2010,29(3)

本文链接:http://d.wanfangdata.com.cn/Thesis_Y1759305.aspx


相关文章:
网络安全管理系统简介_图文
29 2 网络安全管理系统设计方案 1. 前言 1.1. ...(供参考) 随着计算机技术的迅速发展,在计算机处理...报警信息等,批量管理终端计算机并提高安全性、降低日常...
网络安全运维管理系统方案
网络安全运维管理系统方案 网络安全运维管理系统 技术...24 4.3.4 故障告警源 ......运维服务 管理层将人、技术与流程进行有效地融合,实现日常运维工作的自动...
白云矿区职称论文发表-网络管理北向接口协议告警论文选...
软件定义网络:安全模型、机制及研究进展 2……软件定义网络中北向接口语言综述 ...张家口电力通信告警综合管理系统的设计与实现 45……基于 BP 网络的移动通信网络...
孟津县职称论文发表-内蒙古电信运维管理告警监控需求分...
下一代融合视频业务架构与演进 17……业务支撑系统...30……信息通信网络告警分类、关联性与管理方法研究 ...PON 中异常发光 ONU 的检测技术研究 55……基于 ...
基于RFID及多传感器融合技术的展馆监控管理系统设计_图文
基于RFID及多传感器融合技术的展馆监控管理系统设计_...当贵重物品发生非法移动时及时报警,并可跟 踪被盗...(3)网络模型与算法研究。在理论模型研究的基础上 ...
网络安全学位论文题目
区域网络化制造系统中电子商务平台若干安全技术的研究 设备端网络安全架构的设计和实现 基于入侵检测系统的校园网络安全模型设计 电力行业管理信息系统网络安全的研究 ....
通信网络管理系统的设计
开发技术等多方面内容, 文章介绍了在系统设计过程中...网络 报警和事件,处理所有的网络信息,访问所有的管理...特别是在安全方面,单一的位置,更容易保证整个系统的...
多网融合环境下网络管理技术的研究与实现
多网融合环境下网络管理技术的研究与实现_互联网_IT...针对性地设计实现了面向多网融合网络管理系统。 ...当前生活中关于网络融合的业务已经较为常 见,如 TV...
通信设备告警系统的设计与实现
了用户需求的基础,利用公司现有环境,设计并实现了网络故 障设备实时告警系统...按照功能划分,网络管理系统可分为性能管理、 配置管理、故障管理、安全管理、账务...
联告警网络安全解决方案
告警网络安全解决方案●网络现状与安全隐患 1)公安边防系统已经安装公安部统一推广的“一机两用”软件,在一定程度上实现了内 外网隔离使用,见下面示意图,内网机器...
更多相关标签:
告警系统 | 集中告警系统 | 监控系统 告警规则 | 开源告警系统 | 告警系统设计 | 监控告警系统前端设计 | 近地告警系统 | 告警系统 java |