一种基于相对熵的入侵报警分析方法
【专利摘要】本发明涉及一种基于相对熵的入侵报警分析方法,根据入侵检测系统产生的海量报警流量,评估当前网络的宏观安全状况,描述当前最应关注的攻击情况。所述方法包括:获取入侵检测系统的报警,根据历史数据和专家知识建立一个多特征的正常参数基线以及一个容忍范围;根据入侵报警数据“源IP地址,目的IP地址,源端口,目的端口和报警类型”的五个特征,采用基于相对熵的阈值检测法,一旦报警流量超出基线的容忍范围则认为是异常流量,通过挖掘和分析这些异常,有效识别并报告异常类型,帮助网络管理员快速定位网络异常。
【专利说明】一种基于相对熵的入侵报警分析方法
【技术领域】
[0001]本发明涉及一种基于相对熵的入侵报警分析方法,具体涉及一种面向大规模网络的入侵检测系统,利用相对熵理论,实时监测、管理和分析海量网络报警数据的方法。属于信息安全【技术领域】。
【背景技术】
[0002]入侵检测技术(Intrusion Detection System, IDS)通过实时检测网络流量,监控各种网络行为,对违反安全策略的流量及时报警和防护,是解决计算机网络安全问题的有效手段。但是,目前入侵检测系统存在着报警信息量过大,且误报率过高等问题,大量的报警信息是由网络中用户正常行为所致。对于大规模网络的管理员来说,面对成千上亿的报警流量,他们迫切需要入侵报警辅助分析工具,有效过滤正常报警流量,监控恶意报警流量。
[0003]研究表明,海量的报警信息充斥着反映网络正常状态的报警,而且这些报警具有一定的稳定性。网络报警流量在正常运行的情况下具有一定的周期性、稳定性,也就是说一段正常的网络流量数据能在历史数据中找到与其相近的模式,而异常流量会打破这种规律使报警流量产生异常波动。同时,网络中的异常事件总是触发海量的报警数据,这些数据往往有一个或者多个特征(如报警类型,IP地址,端口)相同,而另外一些特征符合一些分布的特点。
[0004]入侵报警分析引起了国内外研究学者的广泛关注。经对现有技术文献的检索发现,目前研究方面主要集中在报警评估(alert verification),报警聚合和聚类(alertaggregation and clustering),报警关联(alert correlation)。报警评估需要依据网络环境信息(漏洞,开放端口,运行服务等),进一步验证报警,核实攻击。报警聚合和聚类通常针对同一安全事件产生的大量性质相同或相近的报警合并成新的报警,也称为报警簇。例如,根据报警不同属性之间的相似度,聚合相似度较高的报警信息。该方法可有效地压缩报警的数量,但是不易于分析报警产生的原因。Viinikka等人于2009年发表在((Information Fusion (信息融合)〉〉上的论文 “Processing intrusion detection alertaggregates with time series modeling (用时间序列模型进行入侵报警聚类)”,发现系统正常运行时所触发的报警具有很强的规律性(regularities),报警密度具有平滑的改变。他们认为异常行为反映为报警数量和密度方面的偏移,通过建模这些规律,可从报警的数量上(volume)找出异常行为与正常行为的偏差(deviation),以发现攻击。他们提出了基于时间序列(time series)和指数加权移动平均(Exponentially Weighted MovingAverage,EWMA)方法建模报警流量,以过滤无关报警(irrelevant alerts)。基于数量的报警聚合在检测引起报警数量大幅变化的攻击方面具有良好的效果,如泛洪攻击。但是,仍然有一大类的网络异常并不会在报警数量上引起可检测的变化。
[0005]报警关联能够揭示安全事件之间的关系,重建攻击过程,有助于判断整个攻击模式和入侵趋势。然而,关联分析通常需要考虑报警之外的网络和攻击知识,如攻击知识库、拓扑配置和漏洞信息。此外,关联分析通常将报警定义为多步骤攻击的前提或结果,但是,大量报警是由系统正常运行所致,而这一点仅仅依靠报警本身及报警评估无法有效区分,因而不适合实际工程应用。
【发明内容】
[0006]本发明的目的在于克服现有技术的不足,提供一种基于相对熵的入侵报警分析方法,在大规模网络、面对海量报警数据分析的实际工程中,监控报警数据流量,实现对报警数据的分析,帮助管理员实时定位网络异常。
[0007]为实现上述目的,本发明首先进行报警特征分析,然后确定参考分布,最后实时监测海量的网络报警数据,将实时监测的报警特征分布与参考分布相比,针对每个特征,通过计算相对熵来检测和识别异常行为,并将其进行更细致的分类,帮助管理员专注于网络异常事件。
[0008]本发明的方法通过以下具体步骤实现:
[0009](I)、选取报警特征
[0010]通过分析入侵检测系统的报警数据,选取“源IP地址,目的IP地址,源端口,目的端口和报警类型”五个报警特征,针对这些报警特征的特征组合,识别网络异常。
[0011](2)、选择采样间隔
[0012]选择采样间隔是指确定基于时间序列的连续入侵报警抽样的时间间隔。根据网络中时间间隔内实际的入侵报警数目、大多数攻击所持续的时间和所引起报警的数量,设置采样间隔t为连续t分钟不重合时间序列报警,构造报警流中各个特征参数的相对熵时间序列。
[0013](3)、确定参考分布
[0014]参考分布是指相对正常网络环境下的报警流量。对于时间间隔t,参考分布qt(x)可表达为各分布的高斯混合分布:
【权利要求】
1.一种基于相对熵的入侵报警分析方法,其特征在于包括以下几个步骤: (1)、选取报警特征 通过分析入侵检测系统的报警数据,选取“源IP地址,目的IP地址,源端口,目的端口和报警类型”五个报警特征,针对这些报警特征的特征组合,识别网络异常; (2)、选择采样间隔 选择采样间隔是指确定基于时间序列的连续入侵报警抽样的时间间隔,根据网络中时间间隔内实际的入侵报警数目、大多数攻击所持续的时间和所引起报警的数量,设置采样间隔t为连续t分钟不重合时间序列报警,构造报警流中各个特征参数的相对熵时间序列; (3)、确定参考分布 对于时间间隔t,参考分布qt(x)可表达为以下分布的高斯混合分布:
【文档编号】H04L29/06GK103441982SQ201310257465
【公开日】2013年12月11日 申请日期:2013年6月24日 优先权日:2013年6月24日
【发明者】刘雪娇, 夏莹杰, 任婧 申请人:杭州师范大学