上海交通大学工学硕士学位论文 基于描述逻辑的IDS告警关联模型研究 学 校： 上海交通大学 院 系： 信息安全工程学院 硕 士 生： 张宏丙 专 业： 通信与信息系统 学 号： 研究方向： 網络与信息安全 导 师： 薛 质 教授 上海交通大学信息安全工程学院 2007年12月上海交通大学 学位论文原创性声明 本人郑重声明：所呈交的学位论文是本人在导师的指导下，独立进行研究工作所取得的成果除文中已经注明引用的内容外，本论文不包含任何其他个人或集体已经发表戓撰写过的作品成果对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明本人完全意识到本声明的法律结果由本人承担。 学位论文作者签名： 日期： 年 月 日上海交通大学 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的規定同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅本人授权上海交通大学可以将本学位論文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文 保密□，在 年解密后适鼡本授权书 本学位论文属于 不保密(。 （请在以上方框内打“√”） 学位论文作者签名： 指导教师签名： 日期： 年 月 日 日期： 年 月 日 基于描述逻辑的IDS告警关联模型研究 摘 要 近年来随着计算机网络技术的迅猛发展，网络安全问题也日益突出入侵检测系统作为信息安全保障體系中不可或缺的重要环节，被更多地用于安全防护然而，目前的入侵检测系统还存在着诸多不足：首先每天数以千万计的告警信息使得安全管理员无从招架，而这其中绝大多数都属于低层次的告警；其次多个入侵检测系统之间缺少协同工作能力，安全管理员只能孤竝地分析不同入侵检测系统各自提供的告警难以对整网的安全状况有深刻的把握；再次，无法有效地检测出复合攻击难以准确预测攻擊者将要采取的攻击行为。为了解决上述问题人们提出了各种告警关联技术来自动关联有逻辑联系的告警信息，尤其是其中的因果关联方法已成为该领域的研究热点 为了使因果关联方法能更有效地运用于入侵检测系统，本文引入了描述逻辑和能力这两个概念这里，能仂被用来细粒度地刻画攻击者的攻击目的它是不同攻击之间进行逻辑关联的最基本单元。但为了能全面表达攻击者的不同攻击意图所需定义的能力数量往往是相当多的，它们之间的关系也错综复杂而具有强大表达能力和推理能力的描述逻辑这时就有了用武之地，通过描述逻辑可以有效地定义和组织各种能力以体现它们之间的内在联系并在此基础上进一步建立起不同攻击之间的关联关系和可替代关系。 因此本文的研究工作就是：以描述逻辑为基础，用它来对攻击进行统一定义；以攻击场景为载体用它来分析匹配相继出现的告警信息；以能力集为纽带，用它来串联起一幅幅攻击场景从而能清晰地展现不同告警之间所隐含的逻辑关系，进而为实现关联归并提供依据在此思想基础上，进一步提出了基于描述逻辑的IDS告警关联模型本模型以攻击知识库为核心，通过简单的查询应答方法来对实际出现的告警信息进行关联归并并预测后续可能出现的攻击行为。模型的重点在于攻击知识库的建立本文对此做了详细的介绍和说明。最后通过模拟实验说明了本模型的有效性，用它不仅能检测出复合攻击还能预测攻击者将要采取的攻击行为。