基于攻击目的关联模型及多步攻击的缺省关联算法

摘要

网络入侵过程复杂多变。面对错综复杂的多步攻击，如何去伪存真，识破攻击者的真正攻击目的(意图)，从而采取正确的应对方式，是入侵检测系统有待解决的重要问题之一。本文提出的基于攻击目的的事件抽象及目的分析方法就是对解决这一问题的大胆尝试。在本文中，提出了事件抽象、目的分析和主动响应的概念，并在此基础上构造了一种多步入侵的攻击目的(意图)分析与动态响应系统模型，完成了原型系统的试验。这个系统的主要特点是兼容性、扩展性和主动性。是一种比入侵检测和报警关联更具智能性的安全检测模型。这种多步入侵的目的分析与动态响应系统模型由五部分组成：安全事件检测系统、安全事件分析器、主动响应模块、安全信息传输通道、安全事件数据库。 基于攻击目的(意图)的动态响应模型在判断攻击目的的情况下，研究与攻击相关的入侵检测系统、安全事件分析、动态响应机制以及它们相互影响和相互作用的关系。本文提出了一种基于攻击目的(意图)的建模方法，以安全事件分析机制为核心，从攻击目的的角度对攻击过程进行分析，并建立相应的动态响应模块，并尽可能的预测攻击行为的下一个目标，从而主动有效达到阻止攻击、保护系统的目的。 针对该动态模型本文提出了一种基于入侵目的的多步攻击缺省关联算法，在分析单步攻击目的的基础上，将多步攻击的各个步骤关联起来，并且能够在一定条件下实现对有缺省步骤的攻击进行关联，完成多步攻击的入侵检测。并以此为基础，通过分析多步攻击的整体目的，预测攻击者即将进行的攻击行为，使有针对性的动态防御成为可能并且对未知攻击有一定的检测能力，还可以大幅减少误报和漏报。 本文最后还介绍了相应的试验过程和结果分析，证明了本算法的有效性和优越性，并给出了今后针对该领域我们的研究方向。

目录

文摘

英文文摘

第一章引言

1.1研究背景

1.1.1计算机系统安全模型

1.1.2入侵检测与入侵检测系统

1.2入侵检测系统报警关联技术

1.2.1报警的过滤、融合和压制

1.2.2报警关联的重要意义

1.2.3报警关联技术的局限性

1.3文章结构

第二章IDS分类及协作标准

2.1基本原理及功能

2.2系统结构

2.3系统分类

2.3.1基于数据源的分类

2.3.2基于检测方法的分类

2.3.3基于检测定时的分类

2.3.4系统分类小结

2.4入侵检测系统协作

2.4.1通用入侵检测框架CIDF

2.4.2入侵检测工作组IDWG

2.4.3 IDS协作标准小结

第三章报警关联的研究现状

3.1基于事件关联的入侵检测系统

3.1.1 STAT

3.1.2 IDIOT

3.1.3基于事件关联的检测技术优缺点

3.2报警融合技术

3.2.1报警融合和关联模块(ACC)

3.2.2 M2D2

3.2.3 EMERALD

3.2.4 M-Correlator

3.2.5报警融合技术局限性

3.3无状态报警关联技术

3.3.1基于规划识别技术的报警关联

3.3.2基于行为建模的报警关联

3.3.3已有报警关联技术存在的缺陷

3.4 小结

第四章面向入侵目的的动态响应模型

4.1引言

4.2概述

4.3.国外相关工作

4.4系统设计

4.4.1报警管理层

4.4.2消息融合层

4.4.3事件抽象层

4.4.4目的分析层

4.4.5主动响应

4.5实例分析

4.6模型优点

第五章基于入侵目的的多步攻击缺省关联算法

5.1引言

5.2国外相关工作

5.3多步攻击的缺省关联算法

5.3.1多步子攻击的定义

5.3.2基于目的的攻击分类

5.4算法描述1：攻击逻辑关系图

5.5算法描述2：报警处理流程

5.6算法描述3：关联权值的动态改变

第六章试验过程及结果分析

6.1试验系统架构

6.2不含未知攻击的多步攻击预测

6.3包含未知攻击的多步攻击预测

第七章结论及展望

7.1总结

7.2本文的贡献

7.3今后的研究方向

参考文献

附录 缩写

致 谢

攻读学位期间发表论文及著作