返回
多源安全信息融合系统设计new

多源安全信息融合系统设计new

ID:34371716

大小:409.06 KB

页数:4页

时间:2019-03-05

多源安全信息融合系统设计new_第1页
多源安全信息融合系统设计new_第2页
多源安全信息融合系统设计new_第3页
多源安全信息融合系统设计new_第4页
资源描述:

《多源安全信息融合系统设计new》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据多源安全信息融合系统设计张志军,余江,常俊,刘银山(云南大学信息学院,云南昆明650091)摘要:利用报警融合和关联分析技术能很好地提高报警准确度。阐述了基于多源安全信息融合系统关键模块设计,以暴风蠕虫攻击检测例证了该系统的有效性,并指出需要进一步研究的问题。关键词:入侵检测;报警关联;数据融合;风险评估SecurityInformationFusionSystemDesignBasedonMultipleDataSourcesZhangZhi-jun,Yudiang,Changdun,LiuYin—shanAbstract:TheUSeofalertcorrelationandin

2、fornlationfusiontechniquescanlreprovetheaccuracyofintrusiondetection‘system.ThearticlediscussesthedesignofkeymodulesofthenetworksecurityinformationfusionsystembasedOnmulti--source.Wetakethedetectionofstormwormattacksasallexampletoprovethehighefficiencyofdetectioncomplicatedattacks.andprintOUtthenee

3、dforfurtherresearch.Keywords:intrusiondetection;alertcorrelation;dataFusion;riskevaluation在日益复杂的网络环境下,安全问题更加突出,单一的检测方法和检测系统难以检测各种复杂攻击,综合多种检测技术(误用检测、异常检测)、多种安全部件能够有效提高检测的准确性。但是,各类安全产品产生的海量报警将真实有效的报警信息淹没。这就需要对源自不同检测方法和安全系统的安全信息进行融合,得到一个综合的判别结果。关联各类安全信息能互补入侵证据,有利于更全面地了解网络安全状况,提供攻击预警、风险评估等高层次的安全需求。1系统架

4、构与融合模型安全信息融合系统主要包括日志预处理、报警提取与接收、报警规范化处理、报警聚类与和合并、报警关联分析、漏洞脆弱性关联分析、风险评估、报警输出与应急相应等功能模块。系统模型见图l。图1多源安全信息融合系统模型系统支持的数据源有:NIDS、HIDS、脆弱性扫描、防火墙、防毒系统。部署依托snort为NIDS部件,OSSeC为HIDS部件,nessus为脆弱性扫描部件。系统在ossec基础,完善、优化主机资源监控,提高监控实时性和智能化;并部署基于异常检测的流量监控部件。ossec是一款功能强大的开源主机入侵检测系统,支持常见操作系统及应用程序日志、文件完整性、注册表、端口、进程监控、r

5、ootldt检测。2主功能模块设计以F介绍融合系统的主要功能模块和算法。2.1报警规范化处理报警规范化处理本质上是外部报警到内部统一的报警格式的一个映射过程,包括相关的错误检查。不同的IDS标识攻击的行为名、编号可能不同,因此,系统必须维护一个或多个报警映射表:mapping_for_idsX(attack__qame,generated_name)一般地,可以采用报警ID作为映射条件,即使用lDS自身报警编号到统一内部编号的映射,这种映射关系可以是多对一,如snort和ossec同时可以检测出对web扫描,可以将其定义为同一个行为。为了量化报警的危险级别,定义报警级别(1evel)、报警可

6、信度(reliability)。初始化reliability---0.5}level一般可以从源报警信息中提取,并归一化到内部优先级。2.2前提匹配前提匹配是对报警的依赖的前提条件进行匹配,以得到更精准的报警可信度(reliability)。众多攻击都会依赖特定漏洞、系统、权限、服务,如存在一个对一台Linux主机发动针对WindowsIIS服务器的冲击波蠕虫攻击的报警,攻击虽然发生,但成功的概率却为0。定义前提属性集P={OS、vulnerability、authority、service}。文献【l】【2】提出了基于贝叶斯网对报警优先级别和报警可信度决策算法,使用贝叶斯网决策需要学习大量

7、报警事件以获基金项目:云南省科技厅基金(2008CA004)一n03勺c叫m刀∽mnLJ刀H一<万方数据>一I--k--Irv=)UUJU1rvUJ卜_3OLZoU取条件概率表,问题在于学习的报警集难以获取。在本系统中,可以对前提条件进行单独的匹配,并通过加权方式得到报警町信度决策值。对于第i个条件,matched时有:pre(i)=llunmatched时,pre(i)=-O.5Iunknown时,ore(

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。