2.1 协作服务的内容
协作服务的内容主要包括:
(1)可用数据与规则的检索。数据与规则集中存放在数据库中。这里提供的可用数据与规则检测功能并非面向用户,而是面向检测组件。
(2)计算数据相关性。当检测组件提出数据请求时,根据请求的数据描述,计算可用数据的相关性,将相关性满足需要的数据返回。
(3)转发协作请求。当数据库中没有可用的相关数据时,把数据请求转发给其它检测组件,由它们直接响应数据请求。对规则请求也作同样处理。
(4)维护待订规则表。当数据库中没有可用的相关规则,而且没有检测组件响应规则请求时,就把提求的请求添加到待订规则表,通知用户制订相应的新规则。
2.2 信息共享方式
在协同检测模型中,检测组件之间通过协作服务来共享数据,组件间共享数据在改善检测效果的同时也会带来系统通信的额外开销。组件间的共享策略可以分为两种:
策略一:检测组件共享所有数据,如果检测组件IDC1与IDC2之间共享所有数据,这样的好处是数据最全,而问题在于通信开销也最大,同时IDC1与IDC2各自需要处理的数据量也最大,如果检测组件增加的话,处理的数据量呈爆炸性增长。
策略二:检测组件共享相关数据,如果IDC1与IDC2之间仅共享相关数据,则IDC1与IDC2之间通信开销以及各自需要处理的数据量都会明显减少,这样做需要解决的一个问题是如何提取数据的相关性,利用相关数据来提高分析的准确性和提高检测组件的处理效率。
无论是通信开销还是分析效率,第二种共享策略均有更优异的表现,因此本文在协同检测模型中采用第二种共享策略。结合第三章提出的攻击知识库,考虑到实时入侵检测对数据处理性能和迅速响应的要求,本文增加了特征分类一项,并通过谓词规则来表示和提取数据的相关性,从而能迅速定位相关数据。
2.3 警报格式
由于各个检测组件使用的原始警报格式可能各不相同,有些检测组件的原始警报输出并不支持IDMEF
[1]格式,因此本文定义了通用警报格式,用来表示事件和警报记录。
alert
::=
<SID, CID, PRE_SIG, POST_SIG, SIG_CLSID, SIG_PRI, TIMESTAMP, IP_SRC, IP_DST, OS, PROTO, L4_SRCPRT, L4_DSTPRT, EVTINFO>
(1)
表1给出了各个属性字段的定义和简要介绍。其中SIG_CLSID特征类标识用于警报聚合算法,PRE_SIG和POST_SIG属性用于关联分析算法。
表1 通用警报格式属性字段定义
协同检测算法包括DBTCAN聚类算法和关联分析算法。警报聚合将多个事件警报聚合成对应于一个特征分类的警报,在基于密度的抗噪声空间聚类算法DBSCAN
[2](Density-Based Spatial Clustering of Application with Noise)基础之上,本文提出了一种基于密度的抗噪声时间聚类算法DBTCAN(Density-Based Time Clustering of Application with Noise)。DBSCAN算法的优越性在于适用于任意形状的二维空间,并且是抗噪声的。警报聚合过程可以认为是一个一维带噪声的密度聚类应用,因此本文在该算法的基础上用时间替代空间维度。
定义2.1:对于任意给定事件
i,以事件的时间戳
t为圆心,
ε为半径的邻域称为事件
i的
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说工学类基于信息共享的协同入侵检测模型研究(2)在线全文阅读。
