1、隨著網(wǎng)絡(luò)安全的發(fā)展,單純的被動(dòng)的靜態(tài)安全防御策略已經(jīng)無法滿足現(xiàn)實(shí)需要.人們開始采用動(dòng)態(tài)安全防御的思想來進(jìn)行安全防護(hù),入侵檢測系統(tǒng)是動(dòng)態(tài)安全防御里的重要環(huán)節(jié).但是,現(xiàn)有的入侵檢測系統(tǒng)(IDS)存在一個(gè)致使的缺陷:誤報(bào)率高居不下,事件之間缺乏關(guān)聯(lián),遭受的IDS無法展現(xiàn)事件之間的邏輯關(guān)系,結(jié)果用戶很難了解事件背后隱藏的攻擊策略或邏輯步驟.因此,在實(shí)際應(yīng)用中,不僅大量的誤報(bào)混雜在正確的警報(bào)中,同時(shí)警報(bào)本身由于數(shù)目太大,沒有明確的邏輯關(guān)系,很難管

2、理.這些缺陷嚴(yán)重影響了IDS的應(yīng)用.為了解決IDS存在的上述問題,該文在深入分析入侵技術(shù)的基礎(chǔ)上提出了一個(gè)基于入侵序列的啟發(fā)式關(guān)聯(lián)方法.如,如果前一次攻擊階段的結(jié)果是下一次攻擊成功的前提條件之一,那么這兩次攻擊是關(guān)聯(lián)的,是同一系列攻擊中的兩個(gè)步驟.入侵序列的啟發(fā)式關(guān)聯(lián)方法的核心是入侵步驟的確定,該文對如何系統(tǒng)定義入侵步驟進(jìn)行了討論,包括根據(jù)攻擊階段的結(jié)果進(jìn)行的攻擊類型分類、攻擊集的確定、攻擊階段的分解等.論文根據(jù)該事件關(guān)聯(lián)分析方法設(shè)計(jì)并

3、實(shí)現(xiàn)了一個(gè)事件關(guān)聯(lián)分析引擎 ,并利用實(shí)驗(yàn)驗(yàn)證了它的有效性.事件關(guān)聯(lián)分析引擎有4個(gè)優(yōu)點(diǎn)和特點(diǎn):首先,可以有效減少誤報(bào)的數(shù)目,有利于系統(tǒng)管理員更快地發(fā)現(xiàn)攻擊;其次,可以展現(xiàn)事件之間的邏輯關(guān)系;三第,可以有效減少需要用戶關(guān)注的警報(bào)數(shù)目,使用戶可以更輕松地管理和分析警報(bào);第四,可以揭示黑客入侵的一系列步驟,有利于發(fā)現(xiàn)他的入侵策略,方便系統(tǒng)管理員進(jìn)行針對性的應(yīng)急措施.事件關(guān)聯(lián)分析引警可以作為現(xiàn)有的IDS產(chǎn)品的輔助分析工具,幫助用戶快速理解攻擊事件