返回
网络入侵检测系统关联分析技术

网络入侵检测系统关联分析技术

ID:21410372

大小:56.50 KB

页数:7页

时间:2018-10-21

网络入侵检测系统关联分析技术_第1页
网络入侵检测系统关联分析技术_第2页
网络入侵检测系统关联分析技术_第3页
网络入侵检测系统关联分析技术_第4页
网络入侵检测系统关联分析技术_第5页
资源描述:

《网络入侵检测系统关联分析技术》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、网络入侵检测系统关联分析技术:随着计算机X络的飞速发展,信息安全越来越受到人们的重视。入侵检测技术作为保证计算机X络安全的核心技术在保护计算机安全方面起着越来越重要的作用。本文从入侵检测技术的基本概念和发展入手,以攻击事件的关联分析方法如何减少入侵检测系统的误报及漏报率进行了综述和研究,同时讨论了入侵检测系统面临的主要问题及今后的发展趋势。  关键词:入侵检测系统关联分析预测攻击脚本关联元攻击行为建模  :TK2513.4:A:1007-9416(2011)11-0237-02    1、前言  电脑

2、X络的快速发展,产生了许多新型的应用及信息的沟通方式,但也产生了许多X络犯罪及入侵攻击事件,一方面是因为软硬件具有可被入侵的漏洞,另一方面X络及系统管理员希望能够安全地防护所管理的系统及敏感信息,所以信息加密技术、防火墙、杀毒软件等安全防护措施便应运而生。时间证明一直以来这些技术仍然无法杜绝攻击事件的发生,因此具有不同技术和特性的入侵检测系统(IntrusionDetectionSystem,IDS)成为信息系统的第二层防护。入侵检测系统是由软件或硬件所组成,用来主动监测在信息系统和X络中所发生的安全

3、事件。当主机被攻击时,入侵检测系统分析主机所遭受的入侵程度和损害程度,并依此发出报警,使管理员可以依据报警信息作出即时的反应和事后的修复工作。  2、研究问题  2.1问题分析  目前入侵检测系统主要面临以下几个问题:  (1)因为不同入侵检测系统的特性及检测能力不尽相同,单一的入侵报警无法完整且正确的搜集系统所受的威胁及所面临的攻击事件信息。如X络型入侵检测系统,无法确认主机是否实际遭到入侵;而主机性入侵检测系统则无法得知入侵前攻击者所采取的攻击方式。  (2)入侵检测系统会产生的正确报警,可以提供

4、报警的重要性级别,但是无法关联某项攻击的流程和顺序,造成管理员无法即时对攻击事件作出回应或修复系统的漏洞。  为了解决上述问题,若能研究出一套能有效处理不同入侵检测系统报警信息的方法,除了可以过滤误报并减少管理员负担之外,并可以借由高重要性攻击知识库描述机制的引入,来引导低重要性报警信息的整合,并提供足够的关联分析依据,用于从报警信息中迅速提取出完整的攻击脚本和攻击路径,最后提供优先顺序来帮助管理员判断处理攻击事件的发生。  2.2研究方法  本研究的解决方法是引进元攻击(PrimitiveAttac

5、k)作为高级报警信息来整合不同入侵检测系统所发出的报警信息,并以元攻击信息为基础来关联出攻击脚本(Attackscenario),再以隐藏式马尔可夫模型(HiddenMarkovModel,HMM)来判断攻击脚本的优先顺序。  (图1)是以元攻击为基础的入侵检测报警关联系统的架构图,大致分为左侧的元攻击的建模与检测子系统,以及右侧的以元攻击为基础的攻击脚本关联与检测子系统。左侧子系统主要负责建模与识别元攻击,基本概念是利用自动产生的原始攻击模板来整合不同入侵检测系统所发出的报警信息,使其统一格式为元攻

6、击,一方面可以减少报警数量,另一方面可以提供更有实际意义的高级报警信息,以降低右侧的关联处理负担。右侧子系统则利用元攻击为基础来进行攻击脚本的识别,再通过攻击脚本的减少及删除,来过滤错误的攻击脚本,并经由HMM计算发生几率后加以排序。管理员可以根据排序后的攻击脚本所提供的攻击信息,针对目前的安全状况作出正确的评估与反应。  2.3系统架构  本文以高级攻击计划为关联基础的概念发展出一套新系统,此系统能够自动建立攻击子计划(AttackSubplan),并利用子计划的组合来进行脚本关联,关联后产生的攻击

7、脚本再利用整合及几率的方式来找出最重要的攻击脚本并预测最有可能的攻击。  3、系统分析  3.1元攻击(PrimitiveAttack)  所谓元攻击是依据元攻击模板(TemplatePrimitiveAttack)所制定的规则及限制条件,将异质入侵检测系统的入侵报警信息整合为高级报警信息。之所以需要元攻击来整合异质入侵检测系统的原因是,不同的入侵检测系统的特性和功能都有所差异,若以单一的报警进行攻击手段的分析往往会因为数据的正确性和依据的不足导致无法正确识别出攻击脚本。因此在本系统中使用元攻击作为组

8、成攻击脚本的基本元素,并利用元攻击的特征相似度作为关联攻击脚本时的判断依据。  3.2攻击知识实体(Attackontology)  之前所提到的知识实体是一种将特定领域概念化的工具,并利用这些领域的正规化描述概念来达到知识分享以及再使用的目的。本文参照MITLincolnLabIntrusionDetectionAttacksDatabase的攻击分类方式,开发出攻击知识实体,本攻击知识实体用来确认元攻击所属的攻击类型,并提供知识来协助攻击脚本的关联。

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。