[发明专利]网络入侵事件关联检测方法

说明书

技术领域

本发明涉及一种网络安全技术领域的检测方法，具体是一种网络入侵事件关联检测方法。

背景技术

随着计算机网络的高速发展，信息和网络的安全已经成为国家、企业和个人一个不容回避的问题。入侵检测系统作为网络安全问题的一种解决方案，由于它具有对网络/系统进行主动监测以发现入侵行为的特点，已成为继防火墙、数据加密等传统安全保护措施后的新一代安全保护技术。基于误用的入侵检测系统通常不能检测出新类型的攻击和已知攻击的变种攻击，而基于异常的入侵检测系统误警率太高。而且更为重要的是现在的入侵检测系统只注重对单个的入侵事件或异常状态进行检测，不能发现入侵者的入侵逻辑步骤及入侵策略。总的来说，其主要的弱点表现在如下几个方面：1、在告警信息量很大的情况下，告警信息难以有效管理；2、无法识别出由同一个入侵过程所产生的多个告警信息之间的关联关系；3、误告警信息的大量存在；4、IDS木身的可扩展性问题等。

针对上述主要弱点，人们提出了几种告警相关方法，主要是用来对告警信息进行二次分析，以识别告警信息之间的关联关系，在入侵检测系统中引入告警相关部件主要意义表现在：1、可以识别出入侵逻辑步骤及入侵策略，将现有的入侵检测系统从只能检测单个的入侵事件、异常状态转换成检测入侵者；2、通过识别告警信息之间的关联关系，可以孤立、识别误告警信息，这样就可以降低误警率；3、对由同一入侵事件引起的重复告警信息进行合并，可以减少告警数量。

经对现有技术的文献检索发现，F.Cuppens和A.Miege在《Proceedings ofthe 2002 IEEE Symposium on Security and Privacy》(2002 IEEE安全与保密论坛会议集)发表了“Alert Correlation in a Cooperative IntrusionDetection Framework”(协同入侵检测架构中的告警关联)，该文中提出基于因果关系的告警关联方法，具体为：一个完整的入侵总是有个过程，这个过程可以分为多个不同的入侵阶段，前一阶段的入侵是为后一阶段的入侵做准备的，不同阶段的入侵步骤会引起不同的告警信息，这些告警信息之间就会存在一定的关联关系，也就是相关关系。为了实现这种告警相关方法，必须为每种入侵定义它的前置条件和后置条件，前置条件是实现这个入侵必需满足的前提，而后置条件是这个入侵成功后所造成的结果。根据前一个阶段产生的告警信息的后置条件的实例是否满足当前入侵告警的前置条件的实例要求，从而找出前后告警信息之间的相关关系。其方法的不足在于：进行告警信息匹配效率非常低，主要原因是入侵者往往要进行几百上千次的某种攻击后，才可能成功一到两次，然后才进行下一步的攻击行为。

这种从前到后的匹配方法，理论上可行，但在实际系统中要耗费大量系统资源和时间进行搜索匹配，效率低下。

发明内容

本发明的目的是针对上述现有技术的不足，提出了一种网络入侵事件关联检测方法，使其根据黑客攻击有一定顺序关序的特点，收集原始报警事件，对原始报警事件分别进行由果溯因的关联分析，获得关联后事件，高效地进行事件关联分析。

本发明是通过如下技术方案实现的，本发明包括如下具体步骤：

步骤一、入侵检测系统报告入侵告警信息，将所有告警信息分别存入四个数据库表，第一数据库表存储扫描漏洞scan、第二数据库表存储提升权限elevation、第三数据库表存储安装后门backdoor、第四数据库表存储拒绝服务攻击ddos；

步骤二、按黑客的攻击步骤，从第四数据库表中的ddos攻击开始，对第四数据库表中每一告警项去存储有安装后门backdoor的第三数据库表中查找匹配之前的黑客攻击行为；

步骤三、如果查找匹配未成功，则直接进入步骤四，如果查找匹配成功则继续向前查找，对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配，如此类推直至匹配到第一数据库表结束，匹配成功的结果存入关联后的事件数据库表；

步骤四、由第四数据库表起始的所有告警项目匹配结束后，然后由第三数据库表开始，对第三数据库表中的警告项去存储有提升权限elevation的第二数据库表中的进行查找匹配，取出前次未匹配过的项目，如此类推直至匹配到第一数据库表结束，如此类推直至整个过程的结束。

所述查找匹配，是指按照源地址相同并且时间由后向前顺序的条件由后面的数据库表向前面的数据库表进行查找匹配。