|
3.1 关联模型的实现 鉴于篇幅原因,关于信息采集模块,信息预处理模块以及可视化拓扑模块的实现的介绍 140 省略,这里对知识库和信息关联模块的实现做详细的介绍。 3.1.1 知识库模块 知识库部分包括三个表格,分别是表Event、表Pre 和表Con,以上文提到的Sadmind Ping 攻击为例,各表中存储的内容如下: (1)表Event 如表1 所示,存储的内容为超类型的编号、名称、属性名称和属性类型。 145 表1 Event Event_Id Hyper_Type Attribute_Name Attribute_Type 1 Bufferflow Sip varchar(20) 2 Bufferflow Sport int 3 Bufferflow Dip varchar(20) 4 Bufferflow Dport int (2)表Pre 如表2 所示,存放的是超类型的前提条件的集合。其中Num 为参数个数, 150 并且把Dip 作为第Pos 个参数。 表2 Pre Hyper_Type Num Pre Pos Pos_Name SadmindPing 1 Host 1 Dip (3)表Con 如表3 所示,该表格存储的内容是超类型的后果集合。 155 表3 Con Hyper_Type Num Con Pos Pos_Name SadmindPing 1 Rootgained 1 Dip 3.1.2 信息关联模块 信息关联模块,需要建立两个表格,表PreTable 和表ConTable。如果表PreTable 中的 160 Predicate 属性和表ConTable 中的Predicate 属性匹配,同时满足时序性,那么就可以认为这 两项超类型是可以关联的,把两者的HyperID 添加到表Correlate 中,如表4 所示。 表4 Correlate HyperID1 HyperID2 1343 1259 165 3.2 实验环境 本文采用分布式设计模式,每个传感器之间相互独立,在被监控的安全设备以及主机上 安装日志采集代理和SNMP 数据采集代理。日志采集器分别为Windows 日志采集代理,Snort 日志采集代理,SYSLOG 日志采集代理。系统的部署图如图3 所示。 IDS IDS 交换机 交换机 关联模型服 务器 日志数据源 主机群 SNMP数据源 主机群 170 图3 传感器部署网络拓扑图 3.3 结果分析 本文验证上述关联模型的可行性,搭建了实验平台,并分别进行了UDP 洪水攻击,TCP 并发连接攻击以及dos 攻击,是用关联系统前后的各性能参数对比如表5 所示。从表5 可以 得出结果:该模型能够更好的上报安全事件,通过事件的关联挖掘出更深层次的攻击策略, 175 误报率和漏报率明显降低,误报率分别降低了2.974%;1.806%和2.025%,漏报率分别降低 了1.103%,1.292%和0.915%。 表5 性能参数比较 攻击类型 未使用关联模型 使用关联模型 采集信 息数 处理时间 (s) 误报 率(%) 漏报率 (%) 采集信 息数 处理时间 (s) 误报率 (%) 漏报率 (%) UDP 洪水 325 3.5 5.353 2.356 336 2.7 2.379 1.253 TCP 并发 253 3.0 4.205 3.454 196 1.8 2.399 2.162 DOS 攻击 943 9.6 4.229 2.557 896 4.4 2.204 1.642 180 4 结论 本文基于事件场景关联给出了面向网络态势感知的多源安全信息融合模型。详细描述了 该模型的设计与部分功能的实现方法,对不同传感器上采集到的异构信息进行事件场景关联 分析,并且给出了实验分析。该多源安全信息关联模型具有较好的应用效果。该模型能够发 现攻击背后的策略,降低误报率和漏报率,为管理员了解网络安全态势提供了重要的依据。 185 但关于知识库的构建依赖专家知识,有待于进一步研究和完善。 [参考文献] (References) [1] 王慧强,赖积宝,朱亮,梁颖. 网络安全态势感知系统结构研究 [J].计算机科学,2006,33(10):5-10. [2] 侯彬彬,潘江,陆菊康.基于SNMP 的主动入侵检测系统的研究与设计[J].计算机应用与软件,2006,23 190 (6):115-116. [3] Peng Ning,Yun Cui,Douglas S.Reeves.Constructing Attack Scenarios through Correlation of Intrusion Alerts[J].In Proceedings of the 9th ACM conference on Computer and communications security,2002:246-254. [4] 尚魏.多源日志安全信息的融合技术研究[D].哈尔滨:哈尔滨工程大学,2010. [5] 郑挺,胡华平. 入侵检测系统报警信息融合模型的设计与实现 [J].计算机应用研究,2004(8):95-98. 195 [6] 陈龙,周剑,王国胤.融合多源日志辅助取证的事件场景关联方法[J].重庆邮电大学学报(自然科学版), 2007,19(5):584-589. [7] Steven J.Templeton,Karl Levitt.A Requires/Provides Model for Computer Attacks[J].NSPW '00 Proceedings of the 2000 workshop on New security paradigms,2000:31-38. 学术论文网Tag:代写论文 代写代发论文 代发论文 职称论文发表 |
