一種基于相對熵的入侵報(bào)警分析方法
【專利摘要】本發(fā)明涉及一種基于相對熵的入侵報(bào)警分析方法,根據(jù)入侵檢測系統(tǒng)產(chǎn)生的海量報(bào)警流量,評估當(dāng)前網(wǎng)絡(luò)的宏觀安全狀況,描述當(dāng)前最應(yīng)關(guān)注的攻擊情況。所述方法包括:獲取入侵檢測系統(tǒng)的報(bào)警,根據(jù)歷史數(shù)據(jù)和專家知識建立一個(gè)多特征的正常參數(shù)基線以及一個(gè)容忍范圍;根據(jù)入侵報(bào)警數(shù)據(jù)“源IP地址,目的IP地址,源端口,目的端口和報(bào)警類型”的五個(gè)特征,采用基于相對熵的閾值檢測法,一旦報(bào)警流量超出基線的容忍范圍則認(rèn)為是異常流量,通過挖掘和分析這些異常,有效識別并報(bào)告異常類型,幫助網(wǎng)絡(luò)管理員快速定位網(wǎng)絡(luò)異常。
【專利說明】一種基于相對熵的入侵報(bào)警分析方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種基于相對熵的入侵報(bào)警分析方法,具體涉及一種面向大規(guī)模網(wǎng)絡(luò)的入侵檢測系統(tǒng),利用相對熵理論,實(shí)時(shí)監(jiān)測、管理和分析海量網(wǎng)絡(luò)報(bào)警數(shù)據(jù)的方法。屬于信息安全【技術(shù)領(lǐng)域】。
【背景技術(shù)】
[0002]入侵檢測技術(shù)(Intrusion Detection System, IDS)通過實(shí)時(shí)檢測網(wǎng)絡(luò)流量,監(jiān)控各種網(wǎng)絡(luò)行為,對違反安全策略的流量及時(shí)報(bào)警和防護(hù),是解決計(jì)算機(jī)網(wǎng)絡(luò)安全問題的有效手段。但是,目前入侵檢測系統(tǒng)存在著報(bào)警信息量過大,且誤報(bào)率過高等問題,大量的報(bào)警信息是由網(wǎng)絡(luò)中用戶正常行為所致。對于大規(guī)模網(wǎng)絡(luò)的管理員來說,面對成千上億的報(bào)警流量,他們迫切需要入侵報(bào)警輔助分析工具,有效過濾正常報(bào)警流量,監(jiān)控惡意報(bào)警流量。
[0003]研究表明,海量的報(bào)警信息充斥著反映網(wǎng)絡(luò)正常狀態(tài)的報(bào)警,而且這些報(bào)警具有一定的穩(wěn)定性。網(wǎng)絡(luò)報(bào)警流量在正常運(yùn)行的情況下具有一定的周期性、穩(wěn)定性,也就是說一段正常的網(wǎng)絡(luò)流量數(shù)據(jù)能在歷史數(shù)據(jù)中找到與其相近的模式,而異常流量會(huì)打破這種規(guī)律使報(bào)警流量產(chǎn)生異常波動(dòng)。同時(shí),網(wǎng)絡(luò)中的異常事件總是觸發(fā)海量的報(bào)警數(shù)據(jù),這些數(shù)據(jù)往往有一個(gè)或者多個(gè)特征(如報(bào)警類型,IP地址,端口)相同,而另外一些特征符合一些分布的特點(diǎn)。
[0004]入侵報(bào)警分析引起了國內(nèi)外研究學(xué)者的廣泛關(guān)注。經(jīng)對現(xiàn)有技術(shù)文獻(xiàn)的檢索發(fā)現(xiàn),目前研究方面主要集中在報(bào)警評估(alert verification),報(bào)警聚合和聚類(alertaggregation and clustering),報(bào)警關(guān)聯(lián)(alert correlation)。報(bào)警評估需要依據(jù)網(wǎng)絡(luò)環(huán)境信息(漏洞,開放端口,運(yùn)行服務(wù)等),進(jìn)一步驗(yàn)證報(bào)警,核實(shí)攻擊。報(bào)警聚合和聚類通常針對同一安全事件產(chǎn)生的大量性質(zhì)相同或相近的報(bào)警合并成新的報(bào)警,也稱為報(bào)警簇。例如,根據(jù)報(bào)警不同屬性之間的相似度,聚合相似度較高的報(bào)警信息。該方法可有效地壓縮報(bào)警的數(shù)量,但是不易于分析報(bào)警產(chǎn)生的原因。Viinikka等人于2009年發(fā)表在((Information Fusion (信息融合)〉〉上的論文 “Processing intrusion detection alertaggregates with time series modeling (用時(shí)間序列模型進(jìn)行入侵報(bào)警聚類)”,發(fā)現(xiàn)系統(tǒng)正常運(yùn)行時(shí)所觸發(fā)的報(bào)警具有很強(qiáng)的規(guī)律性(regularities),報(bào)警密度具有平滑的改變。他們認(rèn)為異常行為反映為報(bào)警數(shù)量和密度方面的偏移,通過建模這些規(guī)律,可從報(bào)警的數(shù)量上(volume)找出異常行為與正常行為的偏差(deviation),以發(fā)現(xiàn)攻擊。他們提出了基于時(shí)間序列(time series)和指數(shù)加權(quán)移動(dòng)平均(Exponentially Weighted MovingAverage,EWMA)方法建模報(bào)警流量,以過濾無關(guān)報(bào)警(irrelevant alerts)。基于數(shù)量的報(bào)警聚合在檢測引起報(bào)警數(shù)量大幅變化的攻擊方面具有良好的效果,如泛洪攻擊。但是,仍然有一大類的網(wǎng)絡(luò)異常并不會(huì)在報(bào)警數(shù)量上引起可檢測的變化。
[0005]報(bào)警關(guān)聯(lián)能夠揭示安全事件之間的關(guān)系,重建攻擊過程,有助于判斷整個(gè)攻擊模式和入侵趨勢。然而,關(guān)聯(lián)分析通常需要考慮報(bào)警之外的網(wǎng)絡(luò)和攻擊知識,如攻擊知識庫、拓?fù)渑渲煤吐┒葱畔?。此外,關(guān)聯(lián)分析通常將報(bào)警定義為多步驟攻擊的前提或結(jié)果,但是,大量報(bào)警是由系統(tǒng)正常運(yùn)行所致,而這一點(diǎn)僅僅依靠報(bào)警本身及報(bào)警評估無法有效區(qū)分,因而不適合實(shí)際工程應(yīng)用。
【發(fā)明內(nèi)容】
[0006]本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足,提供一種基于相對熵的入侵報(bào)警分析方法,在大規(guī)模網(wǎng)絡(luò)、面對海量報(bào)警數(shù)據(jù)分析的實(shí)際工程中,監(jiān)控報(bào)警數(shù)據(jù)流量,實(shí)現(xiàn)對報(bào)警數(shù)據(jù)的分析,幫助管理員實(shí)時(shí)定位網(wǎng)絡(luò)異常。
[0007]為實(shí)現(xiàn)上述目的,本發(fā)明首先進(jìn)行報(bào)警特征分析,然后確定參考分布,最后實(shí)時(shí)監(jiān)測海量的網(wǎng)絡(luò)報(bào)警數(shù)據(jù),將實(shí)時(shí)監(jiān)測的報(bào)警特征分布與參考分布相比,針對每個(gè)特征,通過計(jì)算相對熵來檢測和識別異常行為,并將其進(jìn)行更細(xì)致的分類,幫助管理員專注于網(wǎng)絡(luò)異常事件。
[0008]本發(fā)明的方法通過以下具體步驟實(shí)現(xiàn):
[0009](I)、選取報(bào)警特征
[0010]通過分析入侵檢測系統(tǒng)的報(bào)警數(shù)據(jù),選取“源IP地址,目的IP地址,源端口,目的端口和報(bào)警類型”五個(gè)報(bào)警特征,針對這些報(bào)警特征的特征組合,識別網(wǎng)絡(luò)異常。
[0011](2)、選擇采樣間隔
[0012]選擇采樣間隔是指確定基于時(shí)間序列的連續(xù)入侵報(bào)警抽樣的時(shí)間間隔。根據(jù)網(wǎng)絡(luò)中時(shí)間間隔內(nèi)實(shí)際的入侵報(bào)警數(shù)目、大多數(shù)攻擊所持續(xù)的時(shí)間和所引起報(bào)警的數(shù)量,設(shè)置采樣間隔t為連續(xù)t分鐘不重合時(shí)間序列報(bào)警,構(gòu)造報(bào)警流中各個(gè)特征參數(shù)的相對熵時(shí)間序列。
[0013](3)、確定參考分布
[0014]參考分布是指相對正常網(wǎng)絡(luò)環(huán)境下的報(bào)警流量。對于時(shí)間間隔t,參考分布qt(x)可表達(dá)為各分布的高斯混合分布:
【權(quán)利要求】
1.一種基于相對熵的入侵報(bào)警分析方法,其特征在于包括以下幾個(gè)步驟: (1)、選取報(bào)警特征 通過分析入侵檢測系統(tǒng)的報(bào)警數(shù)據(jù),選取“源IP地址,目的IP地址,源端口,目的端口和報(bào)警類型”五個(gè)報(bào)警特征,針對這些報(bào)警特征的特征組合,識別網(wǎng)絡(luò)異常; (2)、選擇采樣間隔 選擇采樣間隔是指確定基于時(shí)間序列的連續(xù)入侵報(bào)警抽樣的時(shí)間間隔,根據(jù)網(wǎng)絡(luò)中時(shí)間間隔內(nèi)實(shí)際的入侵報(bào)警數(shù)目、大多數(shù)攻擊所持續(xù)的時(shí)間和所引起報(bào)警的數(shù)量,設(shè)置采樣間隔t為連續(xù)t分鐘不重合時(shí)間序列報(bào)警,構(gòu)造報(bào)警流中各個(gè)特征參數(shù)的相對熵時(shí)間序列; (3)、確定參考分布 對于時(shí)間間隔t,參考分布qt(x)可表達(dá)為以下分布的高斯混合分布:
【文檔編號】H04L29/06GK103441982SQ201310257465
【公開日】2013年12月11日 申請日期:2013年6月24日 優(yōu)先權(quán)日:2013年6月24日
【發(fā)明者】劉雪嬌, 夏瑩杰, 任婧 申請人:杭州師范大學(xué)