技術(shù)領域

本發(fā)明涉及一種基于相對熵的入侵報警分析方法，具體涉及一種面向大規(guī)模網(wǎng)絡的入侵檢測系統(tǒng)，利用相對熵理論，實時監(jiān)測、管理和分析海量網(wǎng)絡報警數(shù)據(jù)的方法。屬于信息安全技術(shù)領域。?

背景技術(shù)

入侵檢測技術(shù)(Intrusion?Detection?System，IDS)通過實時檢測網(wǎng)絡流量，監(jiān)控各種網(wǎng)絡行為，對違反安全策略的流量及時報警和防護，是解決計算機網(wǎng)絡安全問題的有效手段。但是，目前入侵檢測系統(tǒng)存在著報警信息量過大，且誤報率過高等問題，大量的報警信息是由網(wǎng)絡中用戶正常行為所致。對于大規(guī)模網(wǎng)絡的管理員來說，面對成千上億的報警流量，他們迫切需要入侵報警輔助分析工具，有效過濾正常報警流量，監(jiān)控惡意報警流量。?

研究表明，海量的報警信息充斥著反映網(wǎng)絡正常狀態(tài)的報警，而且這些報警具有一定的穩(wěn)定性。網(wǎng)絡報警流量在正常運行的情況下具有一定的周期性、穩(wěn)定性，也就是說一段正常的網(wǎng)絡流量數(shù)據(jù)能在歷史數(shù)據(jù)中找到與其相近的模式，而異常流量會打破這種規(guī)律使報警流量產(chǎn)生異常波動。同時，網(wǎng)絡中的異常事件總是觸發(fā)海量的報警數(shù)據(jù)，這些數(shù)據(jù)往往有一個或者多個特征(如報警類型，IP地址，端口)相同，而另外一些特征符合一些分布的特點。?

入侵報警分析引起了國內(nèi)外研究學者的廣泛關注。經(jīng)對現(xiàn)有技術(shù)文獻的檢索發(fā)現(xiàn)，目前研究方面主要集中在報警評估(alert?verification)，報警聚合和聚類(alert?aggregation?and?clustering)，報警關聯(lián)(alert?correlation)。報警評估需要依據(jù)網(wǎng)絡環(huán)境信息(漏洞，開放端口，運行服務等)，進一步驗證報警，核實攻擊。報警聚合和聚類通常針對同一安全事件產(chǎn)生的大量性質(zhì)相同或相近的報警合并成新的報警，也稱為報警簇。例如，根據(jù)報警不同屬性之間的相似度，聚合相似度較高的報警信息。該方法可有效地壓縮報警的數(shù)量，但是不易于分析報警產(chǎn)生的原因。Viinikka等人于2009年發(fā)表在《Information?Fusion(信息融合)》上的論文“Processing?intrusion?detection?alert?aggregates?with?time?series?modeling（用時間序列模型進行入侵報警聚類）”，發(fā)現(xiàn)系統(tǒng)正常運行時所觸發(fā)的報警具有很強的規(guī)律性(regularities)，報警密度具有平滑的改變。他們認為異常行為反映為報警數(shù)量和密度方面的偏移，通過建模這些規(guī)律，可從報警的數(shù)量上(volume)找出異常行為與正常行為的偏差(deviation)，以發(fā)現(xiàn)攻擊。他們提出了基于時間序列(time?series)和指數(shù)加權(quán)移動平均(Exponentially?Weighted?Moving?Average，EWMA)方法建模報警流量，以過濾無關報警(irrelevant?alerts)。基于數(shù)量的報警聚合在檢測引起報警數(shù)量大幅變化的攻擊方面具有良好的效果，如泛洪攻擊。但是，仍然有一大類的網(wǎng)絡異常并不會在報警數(shù)量上引起可檢測的變化。?

報警關聯(lián)能夠揭示安全事件之間的關系，重建攻擊過程，有助于判斷整個攻擊模式和入侵趨勢。然而，關聯(lián)分析通常需要考慮報警之外的網(wǎng)絡和攻擊知識，如攻擊知識庫、拓撲配置和漏洞信息。此外，關聯(lián)分析通常將報警定義為多步驟攻擊的前提或結(jié)果，但是，大量報警是由系統(tǒng)正常運行所致，而這一點僅僅依靠報警本身及報警評估無法有效區(qū)分，因而不適合實際工程應用。?

發(fā)明內(nèi)容

本發(fā)明的目的在于克服現(xiàn)有技術(shù)的不足，提供一種基于相對熵的入侵報警分析方法，在大規(guī)模網(wǎng)絡、面對海量報警數(shù)據(jù)分析的實際工程中，監(jiān)控報警數(shù)據(jù)流量，實現(xiàn)對報警數(shù)據(jù)的分析，幫助管理員實時定位網(wǎng)絡異常。?

為實現(xiàn)上述目的，本發(fā)明首先進行報警特征分析，然后確定參考分布，最后實時監(jiān)測海量的網(wǎng)絡報警數(shù)據(jù)，將實時監(jiān)測的報警特征分布與參考分布相比，針對每個特征，通過計算相對熵來檢測和識別異常行為，并將其進行更細致的分類，幫助管理員專注于網(wǎng)絡異常事件。?

本發(fā)明的方法通過以下具體步驟實現(xiàn)：?

(1)、選取報警特征?

通過分析入侵檢測系統(tǒng)的報警數(shù)據(jù)，選取“源IP地址，目的IP地址，源端口，目的端口?和報警類型”五個報警特征，針對這些報警特征的特征組合，識別網(wǎng)絡異常。?

(2)、選擇采樣間隔?

選擇采樣間隔是指確定基于時間序列的連續(xù)入侵報警抽樣的時間間隔。根據(jù)網(wǎng)絡中時間間隔內(nèi)實際的入侵報警數(shù)目、大多數(shù)攻擊所持續(xù)的時間和所引起報警的數(shù)量，設置采樣間隔t為連續(xù)t分鐘不重合時間序列報警，構(gòu)造報警流中各個特征參數(shù)的相對熵時間序列。?