学位论文 > 优秀研究生学位论文题录展示

网络多步攻击识别方法研究

作　者: 王莉
导　师: 李之棠
学　校: 华中科技大学
专　业: 计算机系统结构
关键词: 入侵检测攻击场景重建攻击意图识别攻击行为序列模式关联度
分类号: TP393.08
类　型: 博士论文
年　份: 2007年
下　载: 343次
引　用: 6次
阅　读: 论文下载

内容摘要

随着网络上网络安全软硬件设施应用的迅速增加,如防火墙、安全路由器、入侵检测系统、主机安全系统、防病毒系统和桌面安全系统等,产生了大量的告警和日志等安全事件数据,这些安全事件数据庞大冗余、分散独立、错漏混杂,命中率低、反应滞后,很难直接作为准确安全反应的触发性事件。安全事件关联分析方法通过对安全事件数据进行综合分析和处理,揭示出其中隐藏的逻辑关联,发现攻击者的真正意图,从而对网络攻击进行预防和响应,实现对整个网络安全态势的有效监控。根据安全事件关联分析方法所解决问题的不同,对安全事件关联分析方法进行重新分类,即分为:聚合关联(同类、相似事件间关联)、交叉关联(安全事件和背景知识间关联)、多步攻击关联(多步攻击不同步骤间关联),以及涉及关联结构和关联细节的其他类。其中,多步攻击关联以实现攻击场景重建和发掘攻击意图为目的,是非常重要的研究点。然而目前已有的多步攻击关联研究存在着一些尚未解决的问题,如:过多依赖于先验知识,需要定义复杂的关联规则,只能挖掘出场景片断、难以发现新型攻击、无法有效保证实时性等等。另外,这些方法多是基于原始告警和安全事件来建立多步攻击场景,因此在全局观和准确性方面也存在局限。针对这些问题和缺陷,提出了一种新的多步攻击关联方法。方法首先从历史数据库中挖掘多步攻击行为发生模式,再通过实时的模式匹配和攻击关联来实现在线攻击意图识别。方法建立在对高级安全事件进行分析和处理的基础上,从高级安全事件中发掘出高一级的攻击者的攻击意图和攻击策略。通过对安全事件告警统计规律的研究发现,告警中的相当一部分重复和冗余信息具有周期发生和趋势发生的规律,RCI聚合算法利用这一特点对告警进行去除,过滤掉趋势项和周期项告警,再根据主要属性信息对告警进行分类,对分类后的告警类别进行攻击类型识别从而产生高级安全事件。经过RCI方法处理后的告警数量明显减少,聚合率达到95.5%。攻击行为模式挖掘算法MASP的目的是从历史数据库中挖掘出多步攻击行为发生模式,这些攻击行为发生模式作为后续在线匹配算法进行在线分析的主要依据。从高级安全事件中挖掘出多步攻击行为发生模式的思想是基于构成多步攻击的攻击步骤具有一定的时间顺序和发生模式这一特点而提出的。MASP算法首先利用攻击场景时间窗口把安全事件告警数据库转化为候选攻击序列集,再利用改进的Apriori-all序列模式挖掘算法从候选攻击序列集中挖掘出多步攻击行为发生序列模式。不同的攻击行为序列模式反映了不同的多步攻击的攻击步骤行为发生模式。算法仅考虑安全事件告警中的攻击类型属性,着重研究攻击行为发生的序列模式,不需要制定复杂的关联规则,解决了目前的多步攻击关联方法需要定义复杂关联规则的问题。实验结果表明方法能有效的从安全事件告警数据库中挖掘出多步攻击行为的发生模式,挖掘算法执行时间随攻击场景时间窗口的增大缓慢增长,随支持度的减小而增长迅速,随数据库规模的增大呈线性增长速度,改进后的算法效率提高了1.7-10倍。在线的攻击意图识别方法利用一种新的在线攻击模式匹配ASM算法对每一条新收到的安全事件告警进行分析,在进行在线攻击模式匹配的同时,通过一种定量的告警关联度计算方法来分析攻击行为步骤间存在的关联关系。告警关联度反映了两条安全事件告警对应同一多步攻击前后攻击步骤的可靠性。告警关联度由告警的属性关联度定义。在进行属性关联度定义时,提出一种新的利用树形结构进行属性分类和关联度计算方法。对告警进行在线分析时,ASM算法对每一条新收到的安全事件告警进行在线的攻击模式匹配,同时利用量化的告警关联度计算来分析攻击行为步骤间存在的关联关系,进行实时的攻击场景构建,预测攻击者的下一步攻击行为,从而达到在线攻击意图识别的目的。实验采用了DARPA 2000数据集和从华中地区教育科研网采集到的真实数据对方法进行验证,结果显示系统对多步攻击的检测率达到94%,对每个多步攻击平均可以提前3.31步做出判断并将结果通知管理员。进一步分析发现,导致漏检的主要原因是出现历史数据中未曾出现的新型多步攻击。这一问题可以通过加强历史数据的完整性,和手工添加少数新型多步攻击模式来解决。

全文目录

摘要  4-6
ABSTRACT  6-13
1 绪论  13-29
  1.1 研究背景  13
  1.2 多步攻击关联研究意义  13-22
    1.2.1 入侵检测及存在问题  13-17
    1.2.2 网络安全事件的特点  17-21
    1.2.3 关联分析和集中管理  21
    1.2.4 多步攻击关联  21-22
  1.3 研究现状  22-26
    1.3.1 国内外相关研究  22-24
    1.3.2 SATA 系统介绍  24-26
  1.4 研究内容和论文组织  26-29
    1.4.1 主要研究内容  26-27
    1.4.2 论文主要贡献  27-28
    1.4.3 论文组织结构  28-29
2 安全事件关联分析  29-48
  2.1 关联分析方法分类  29-34
    2.1.1 告警聚合  30-31
    2.1.2 交叉关联  31-32
    2.1.3 多步攻击关联  32-33
    2.1.4 其它关联方法  33-34
  2.2 典型关联方法分析  34-46
    2.2.1 概率相似度关联聚合方法  34-36
    2.2.2 基于机器学习的交叉关联方法  36-39
    2.2.3 基于前因后果的攻击场景构建方法  39-43
    2.2.4 基于GCT 统计时序的攻击意图识别方法  43-46
  2.3 本章小结  46-48
3 RCI 安全事件聚合方法  48-72
  3.1 引言  48
  3.2 总体结构与工作流程  48-50
    3.2.1 总体结构  48-49
    3.2.2 系统工作流程  49-50
  3.3 告警格式化处理  50-54
    3.3.1 IDWG 的入侵检测信息交换标准草案  50-52
    3.3.2 改进的IDMEF 告警格式  52-54
    3.3.3 超告警格式化  54
  3.4 安全事件统计规律  54-58
  3.5 RCI 告警聚合方法  58-64
    3.5.1 安全事件误告去除  59-62
    3.5.2 安全事件分类处理  62-63
    3.5.3 安全事件识别机制  63-64
  3.6 系统实现和实验结果分析  64-71
    3.6.1 系统实现  64-65
    3.6.2 安全事件采集实验平台  65-67
    3.6.3 实验结果  67-69
    3.6.4 结果分析  69-71
  3.7 本章小结  71-72
4 多步攻击行为模式挖掘方法  72-95
  4.1 多步攻击实例研究  72-76
    4.1.1 多步攻击实例  72-75
    4.1.2 多步攻击特点分析  75-76
  4.2 序列模式挖掘方法  76-79
    4.2.1 概念和定义说明  77-78
    4.2.2 Apriori 类序列模式挖掘算法  78-79
  4.3 多步攻击行为模式挖掘方法  79-90
    4.3.1 MASP 攻击行为模式挖掘算法  79-88
    4.3.2 算法改进  88-90
  4.4 实验与结果分析  90-94
    4.4.1 实验结果  90
    4.4.2 结果分析  90-94
  4.5 本章小结  94-95
5 量化的多步攻击关联方法  95-118
  5.1 引言  95
  5.2 告警关联度  95-98
    5.2.1 告警关联度的思想  96-97
    5.2.2 告警关联度定义  97-98
  5.3 属性的分类  98-101
    5.3.1 现有属性分类方法研究  98-99
    5.3.2 超安全事件属性分类研究  99-101
  5.4 属性间关联度定义  101-105
    5.4.1 IP 地址间的关联  101-103
    5.4.2 端口间的关联  103
    5.4.3 时间的关联  103-104
    5.4.4 攻击类型间的关联  104
    5.4.5 严重度间的关联  104-105
    5.4.6 目的地址与端口间的关联  105
  5.5 在线匹配算法  105-110
    5.5.1 算法思想  105-107
    5.5.2 算法设计  107-110
  5.6 实验与结果分析  110-116
    5.6.1 MIT-Darpa 2000 数据集  110-112
    5.6.2 真实数据采集  112-114
    5.6.3 结果分析  114-116
  5.7 本章小结  116-118
6 总结与展望  118-120
  6.1 总结  118-119
  6.2 进一步的工作  119-120
致谢  120-121
参考文献  121-130
附录1 攻读学位期间发表论文目录  130-132
附录2 攻读学位期间参加研究的科研项目  132

网络多步攻击识别方法研究

内容摘要

全文目录

相似论文