0 引言

    入侵檢測作為一種重要的網絡安全防護技術，由ANDERSON J P^[1]在1980年首次提出，經過幾十年的發展，在入侵檢測系統模型構建^[2]、檢測數據集獲取^[3]、檢測方法創新^[4-6]等方面取得了豐碩的成果，已廣泛應用于物聯網^[7]和智慧城市^[8]等多種應用場景。然而隨著網絡承載帶寬流量日益增多，人工分析海量告警日志信息已難以滿足日常需求，開發基于數據挖掘的入侵檢測系統逐漸成為主流^[9]。入侵檢測系統的基本原理就是將獲取的數據經過處理后，與之前設好的規則進行匹配，從而判斷是否為攻擊或入侵^[10-11]。根據入侵檢測的原理，系統需要獲取足夠多的數據，才能更準確地判斷是否為攻擊或入侵。

    為了能夠更有效處理網絡中大規模的安全數據，學者們開始研究數據挖掘技術，王洋等^[12]利用貝葉斯攻擊圖模型從大規模流量中識別異常告警，通過告警關聯識別攻擊者的意圖。李祉岐等^[13]對現有告警融合和關聯分析方法進行了綜合分析，提出了基于告警關聯的入侵檢測體系架構以及應用準則。胡浩等^[14]利用吸收Markov鏈模擬攻擊者的入侵行為，解決了用攻擊圖對攻擊路徑進行仿真時存在的狀態爆炸問題，有效提升入侵路徑識別的精度。

    Snort是美國Sourcefire公司發布的開源入侵檢測軟件，提供規范化的接口便于用戶對Snort進行擴充與改進，因此研究人員選擇在Snort基礎上進行研發或對其進行進一步的功能擴充，以實現從大量日志信息中，快速、有效找到網絡流規律及數據信息之間的聯系，發現異常的網絡數據流的特征信息，提升漏告警和誤告警場景中的檢測完備性。告警關聯規則挖掘是入侵檢測的重點環節之一，HU H^[15]等認為同一攻擊過程中的各個攻擊步驟以較高的概率在一個時間窗口內發生，因而同一攻擊過程產生的告警在統計上具有相似性，因此提出了基于統計時序的告警關聯方法，通過計算告警序列之間的因果關聯指數來判斷告警是否具有關聯關系。上述方法不依賴領域知識，但存在計算量大、參數配置復雜等不足。

    針對上述問題，本文以Snort為基礎，設計實現了能夠從大量日志信息中發現網絡中攻擊與入侵數據流間隱藏關系的入侵檢測系統。本文提出的方法能有效融合告警信息，識別入侵過程，幫助管理人員掌握網絡安全狀況，輔助指導風險評估和入侵響應等后續過程。

本文詳細內容請下載：http://www.cowatch.cn/resource/share/2000003057

作者信息：

劉金龍1，劉  鵬1，裴  帥2，田  沖2

(1.海軍參謀部，北京100841；2.信息產業信息安全測評中心，北京100083)