学位论文 > 优秀研究生学位论文题录展示

基于扩展有向图的复合攻击模型及检测方法研究

作 者: 张爱芳
导 师: 李芝棠
学 校: 华中科技大学
专 业: 计算机系统结构
关键词: 入侵检测 告警关联 复合攻击 攻击行为模式 攻击预测
分类号: TP393.08
类 型: 博士论文
年 份: 2008年
下 载: 176次
引 用: 1次
阅 读: 论文下载
 

内容摘要


网络告警关联是立足于“网络攻击行为间的相关性必然反映在其告警信息间的某种相关性中”这一基本认知,通过对大量告警信息的综合分析,发现各种离散告警信息间的某些联系,进而识别出真实攻击行为或意图的过程。目前的关联方法绝大部分致力于提高告警质量和离线分析告警之间关系,得到的结果缺乏统一的形式化描述,无法形成有效的知识,难以直接用于攻击检测和预测。复合攻击是由多个不可分解的攻击步骤按照一定的逻辑关系组合而成的完整攻击过程。复合攻击的前后步骤之间普遍存在着的因果或逻辑关系,通过告警反映出来,使得复合攻击检测成为可能。建立合适的复合攻击形式化描述模型,并以此为基础进行复合攻击检测和后续攻击的预测,能够有效指导安全管理员及时采取针对性防御措施,防止对受保护网络造成更大的危害,这比事后的分析更有意义,更加合乎人们的期望。针对上述目标,提出了基于扩展有向图的复合攻击模型和检测方法。该方法在自动提取攻击行为抽象模式的基础上,选择扩展有向图作为表达复合攻击行为及其约束关系的模型。这样,当某个复合攻击的序列部分重现的时候,就可以根据该模型检测出复合攻击,从而达到在极具威胁的攻击步骤到来之前提前预测的目的。复合攻击特征和攻击行为抽象模式提取来自于对历史数据的分析。告警属性之间的规律性正是复合攻击行为模式的体现,一旦找到便可以作为复合攻击检测的依据,因此如何获得告警属性之间的规律成为建立模型的关键。基于频繁情节模式挖掘算法的改进思路建立在对告警数据特点分析之上:安全设备产生的告警是复杂数据类型,由多个属性组成,每个属性都对攻击模式具有约束意义。因此对告警进行序列分析时,重点考察类型属性和其它属性之间的相互关系。挖掘得到的情节模式蕴含了不同攻击行为之间的因果关系,并预示一个攻击发生伴随另外一攻击发生的可能性,而属性约束体现了攻击步骤之间的关联逻辑。实验结果表明,该方法能够揭示攻击行为之间的联系,自动形成攻击行为模式。基于扩展有向图的复合攻击模型中,节点表示告警类型,有向边表示告警类之间可能存在的因果关系,边上的约束条件体现了告警之间确实存在某种因果关联时需要满足的条件,节点的权值表示不同类型告警的严重程度。该模型能够有效表达攻击行为之间的逻辑关系,可作为复合攻击检测和匹配的框架。实时检测以扩展有向图为基础,按照向后匹配和缺项匹配的方式对告警之间的关联关系进行分析,并使用检测度和匹配度两个检测指标,来衡量复合攻击被检测到的比率、复合攻击进行到当前步骤时与整个攻击场景的匹配程度。当新的告警到来时,根据图中有向边,确定可能存在因果关联的告警集;分析集合中告警与当前告警对之间的关联关系,确定两者属于同一攻击场景的相邻两步的可能性;在此基础上计算复合攻击的检测度和匹配度,并根据得到的结果预测下一步可能发生的攻击。该方法克服了通过匹配规则建立匹配链、而匹配链随着数据增加可能指数增加的弊端,可以动态、完整地恢复攻击流程。系统采用JAVA实现。实验使用了DARPA 2000数据集和从蜜网和局域网采集到的真实数据对方法进行验证,结果显示系统对多步攻击的检测率达到93%,对多步攻击平均可以提前至少一步做出判断并将结果通知管理员。

全文目录


摘要  4-6
ABSTRACT  6-10
1 绪论  10-24
  1.1 研究背景  10-17
  1.2 复合攻击关联和检测  17-19
  1.3 国内外研究现状  19-22
  1.4 论文研究目标及主要创新点  22-23
  1.5 论文组织结构  23-24
2 告警关联方法  24-40
  2.1 告警关联需要解决的问题  24-26
  2.2 告警关联研究目标  26-28
  2.3 告警质量提高技术  28-32
  2.4 复合攻击关联和入侵意图识别方法  32-38
  2.5 本章小结  38-40
3 基于频繁情节的复合攻击模式提取方法  40-63
  3.1 复合攻击行为特点分析  40-44
  3.2 复合攻击行为模式  44-46
  3.3 基于频繁情节的复合攻击模式提取方法  46-59
  3.4 实验  59-61
  3.5 本章小结  61-63
4 基于扩展有向图的复合攻击模型  63-75
  4.1 引言  63-64
  4.2 序列模式与有向图  64-65
  4.3 基于扩展有向图的复合攻击模型  65-71
  4.4 复合攻击模型构造算法  71-73
  4.5 与其它方法的比较分析  73
  4.6 本章小结  73-75
5 基于扩展有向图的攻击检测  75-88
  5.1 引言  75
  5.2 告警预处理  75-80
  5.3 复合攻击检测和预测算法  80-84
  5.4 检测实例  84-86
  5.5 本章小结  86-88
6 系统框架和实验结果  88-100
  6.1 系统整体框架  88-89
  6.2 系统处理流程  89-91
  6.3 各模块主要功能  91-94
  6.4 主要数据结构  94-96
  6.5 实验平台  96-97
  6.6 实验结果分析  97-100
7 总结与展望  100-102
  7.1 本文主要贡献  100-101
  7.2 下一步的工作  101-102
致谢  102-104
参考文献  104-112
附录1 攻读学位期间发表的论文目录  112-113
附录2 攻读博士学位期间参加研究的科研项目  113

相似论文

  1. 基于关联规则挖掘的入侵检测系统的研究与实现,TP393.08
  2. 基于机器学习的入侵检测系统研究,TP393.08
  3. 高速网络环境下的入侵检测系统的研究,TP393.08
  4. Linux下基于神经网络的智能入侵检测系统研究,TP393.08
  5. 基于协议分析和免疫原理的入侵检测技术研究,TP393.08
  6. 基于bloom filter的多模式匹配引擎设计与应用,TP393.08
  7. 电信网络综合管理研究设计,TN915.07
  8. 入侵检测系统(IDS):拒绝服务攻击的信息和分析,TP393.08
  9. IDS检测算法和技术研究,TP393.08
  10. 基于量子遗传算法优化BP网络的入侵检测研究,TP393.08
  11. 数据融合技术在入侵检测系统中的应用研究,TP393.08
  12. 基于半监督分类的入侵检测系统模型研究,TP393.08
  13. 基于模式匹配的入侵检测系统研究,TP393.08
  14. NIDS模式匹配算法及其调度研究,TP393.08
  15. 基于粗糙集与人工免疫的入侵检测模型研究,TP393.08
  16. 基于人工免疫的入侵检测模型研究,TP393.08
  17. 基于Honeypot的入侵检测系统的应用和研究,TP393.08
  18. 信息安全技术在电子政务平台中的研究与应用,TP393.08
  19. 基于虚拟蜜网的入侵检测系统的研究,TP393.08
  20. 入侵检测匹配过程与算法改进研究,TP393.08
  21. 数据挖掘在通信网络管理系统中的应用,TP311.13

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com