返回
一种改进的攻击场景构建模型

一种改进的攻击场景构建模型

ID:27329128

大小:53.50 KB

页数:8页

时间:2018-12-02

一种改进的攻击场景构建模型_第1页
一种改进的攻击场景构建模型_第2页
一种改进的攻击场景构建模型_第3页
一种改进的攻击场景构建模型_第4页
一种改进的攻击场景构建模型_第5页
资源描述:

《一种改进的攻击场景构建模型》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、一种改进的攻击场景构建模型摘要攻击场景是指入侵者为达到入侵目的所采取的一系列攻击步骤。目前的攻击场景重构方法只基于入侵检测系统的报警消息,漏报和误报严重影响了攻击场景的准确重构。提出了证据支持度的概念,将日志关联融合到攻击场景重构的过程中,提出了一种新的攻击场景重构模型,有效地提高了攻击场景重构的准确度。关键词网络安全;报警关联;攻击场景0引言随着计算机技术,特别是网络技术的不断发展,人们的工作效率得到极大提高。同时,由于网络的开放性和系统的漏洞带来了安全方面的问题:病毒的传播能够造成系统的崩溃、信息的丢失甚至整个计算机网络的瘫痪;黑客对信息系统的攻击会造成机密信息、

2、个人资料的泄漏和丢失,造成难以估计的损失。对于日益严重的安全问题,必须采取相应的措施,才能够保证计算机系统的安全,将可能的损失减到最小。要能够及时准确地发现入侵企图,必须要知道入侵者的具体入侵步骤,单纯依靠入侵检测系统低级且数量众多的报警信息是不现实的。因此必须基于已有的入侵检测系统和众多的日志系统重构入侵者的入侵步骤,使管理员和响应系统能正确理解入侵目的,做出正确的反应。本文采用了根据入侵检测报警的前提条件和可能后果进行攻击场景重构的方法[1]。然而,由于该方法在重构过程中只是基于入侵检测报警,入侵检测系统的误报和漏报会严重影响该方法的准确程度。根据特定入侵行为会在

3、不同的日志中留有不同痕迹的事实,以及关联多种日志能提高入侵检测准确率的可能性,我们对该框架和方法进行了扩展,增加了日志事件、证据支持关系和证据支持度的概念,将特定入侵行为与特定的日志事件关联起来,采用证据支持度来评价重构后的攻击场景中攻击步骤的正确性,同时根据异常日志事件来推断可能漏报的入侵行为,合并被漏报分离的攻击场景。1总体结构我们采用多台收集、集中分析的办法,将每台主机的入侵检测系统(网络入侵检测系统和主机入侵检测系统)的报警信息和系统日志(操作系统和应用程序日志)集中发送到取证机进行保存和分析。在取证机上进行单台主机的攻击场景重构和分布式攻击场景重构。为了保证

4、通信的安全,各主机与取证机之间的通信必须基于安全通信协议。不同的入侵检测系统的报警格式不同,要让它们协同工作,必须制定统一的报警信息格式。网络入侵检测系统和主机入侵检测系统都采用统一的入侵检测消息交换格式(IDMEF)。2基本原理由于入侵检测系统的漏报和误报,单纯依靠入侵检测系统报警信息进行攻击场景重构的准确率不高。而入侵者会在不同的日志文件中留下异常痕迹,我们将报警信息与对应的不同日志关联起来。对于可能的误报,用日志异常证据来评价重构后的攻击场景,验证可能的误报。对于可能的漏报,根据异常日志所对应的可能报警在多个攻击场景之间进行匹配。3攻击的前提条件和后果我们采用[

5、1]中提到的关联报警信息重构攻击场景的方法,使用谓词来表示攻击的前提条件和后果。例如:攻击者在利用FTP的漏洞进行攻击前,连接到FTP服务器,使用SYST命令获取操作系统信息。这个动作被入侵检测系统发现后报警。那么这个攻击的前提条件可以用谓词ExistService(DestIP,DestPort)来表示,表明在地址为DestIP的主机上的DestPort端口存在服务。后果可以用谓词GainOSInfo(DestIP)来表示,表明攻击者获得了该主机的操作系统信息。当攻击的前提条件需要同时满足多个条件时,采用多个谓词的合取式来表示这些条件。例如:攻击者利用e,t.end

6、_time],t.begin_time和t.end_time为时间戳。所有的元组必须保证前提条件p的成立。定义3:对超报警类型T=(f,p,c)来说,将所有在前提条件集合p中出现的谓词的集合表示为前提条件集P(T),同样的将后果集合c中出现的谓词的集合表示为后果集C(T)。对应于类型T的实例h,将P(T)和C(T)中的自由变量赋以h中元组对应的属性值,分别记为P(h)和C(h)。定义4:准备关系。对超报警实例h1和h2来说,如果存在p∈P(h2),C⊆C(h1),集合C中的任一元素c满足c.end_time早于p.begin_time,并且集合C中的所有谓

7、词的合取式能够满足p,那么我们认为h1为h2作了准备,即preparefor关系。h2是h1的后续攻击步骤。5对攻击场景构建框架的扩展5.1对超报警类型的扩展由于入侵者的入侵行为会在不同日志中留下痕迹,因此关联众多日志数据能够提高入侵检测的准确度,降低误报和漏报率[3]。基于此,我们对超报警类型[1]进行扩展,提出了日志事件和证据支持关系的概念,将超报警类型与特定的日志事件关联起来,从而对重构好的攻击场景进行评价和验证,消去误报的入侵步骤,同时猜测漏报以合并攻击场景。定义5:日志事件类型Audit_Event_Type=(Audit_Name,Aud

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。