基于OSSIM关联分析技术的蠕虫攻击检测

摘要

网络蠕虫是一种自动化攻击程序，它通过扫描和攻击网络上存在系统漏洞的节点主机，实现大范围的传播。网络蠕虫已经成为严重威胁网络安全的公害，发展高效实用的网络蠕虫检测技术成为近年来学术界的研究热点。 根据蠕虫典型的入侵和传播模式，蠕虫爆发引致的安全事件具有序列相关性，即若前一次攻击阶段的结果是下一次攻击成功的前提条件之一，那么这两次攻击不仅是关联的，而且还是同一系列攻击中的两个步骤。本文提出了基于序列化启发式关联技术的蠕虫检测方法，通过对网络蠕虫入侵过程形式化，可给出对典型网络蠕虫检测的通用规则。 著名的开源系统OSSIM是一个安全事件集中管理平台，其提供的关联分析引擎支持以不同的关联规则检测各类攻击事件，关联规则可以采用XML格式文档构建。本文深入研究OSSIM的体系结构和关联分析技术应用方法，并给出一种基于序列化启发式关联技术的蠕虫检测通用规则。论文以DCOM蠕虫攻击为例进行实验，测试结果表明在OSSIM平台上采用该规则可得到准确可靠的检测结果。

目录

文摘

英文文摘

声明

第一章绪论

1.1研究背景

1.2拟解决的问题

1.3本课题研究意义及论文的组织结构

1.3.1课题研究意义

1.3.2论文组织结构

第二章网络蠕虫入侵机理

2.1网络蠕虫与病毒

2.2网络蠕虫的功能结构

2.3网络蠕虫常见的传播策略

2.4网络蠕虫常见的传播模型

2.5网络蠕虫的攻击手段

2.6网络蠕虫的检测手段

2.7本章小结

第三章序列化关联分析技术

3.1关联分析技术现状

3.2序列化关联分析技术

3.2.1序列化关联规则思想

3.2.2序列化关联规则定义

3.3关联分析引擎结构

3.4事件预处理单元

3.5关联分析单元重要数据结构

3.6本章小结

第四章基于OSSIM的蠕虫检测原型的实现

4.1 OSSIM整体认识与研究

4.1.1 OSSIM整体结构

4.1.2 OSSIM数据流程结构

4.2蠕虫入侵过程分析

4.2.1入侵前信息收集

4.2.2系统安全扫描

4.2.3入侵阶段

4.2.4入侵成功后的现场处理

4.3蠕虫检测通用关联规则

4.4关联规则的匹配算法

4.5本章小结

第五章网络蠕虫检测系统测试

5.1测试环境的搭建

5.2DCOM测试过程与结果

5.2.1以DCOM蠕虫为例进行测试

5.2.2结果分析

5.3关联分析引擎有效性测试

5.4本章小结

第六章总结与展望

6.1总结

6.2展望

参考文献

致谢

研究成果及发表的学术论文

作者和导师简介