返回
审计系统中基于状态机的实时关联分析子系统研究与实现

审计系统中基于状态机的实时关联分析子系统研究与实现

ID:32773838

大小:64.54 KB

页数:9页

时间:2019-02-15

审计系统中基于状态机的实时关联分析子系统研究与实现_第1页
审计系统中基于状态机的实时关联分析子系统研究与实现_第2页
审计系统中基于状态机的实时关联分析子系统研究与实现_第3页
审计系统中基于状态机的实时关联分析子系统研究与实现_第4页
审计系统中基于状态机的实时关联分析子系统研究与实现_第5页
资源描述:

《审计系统中基于状态机的实时关联分析子系统研究与实现》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、审计系统中基于状态机的实时关联分析子系统研究与实现计算机与现代化2006年第6期JISIIANIIYUXIANDAIHUA总第130期文章编号:11116-N75(2006)06-0(N-g3审计系统中基于状态机的实时关联分析子系统研究与实现陈世强.(湖北民族学院,湖北恩施445oo0)摘要:网络集中安全审计系统的研究与应用已经成为国内外研究的热点•在海量的网络事件中,准确实时地检测分析入侵安全事件的类别并自动响应是集中审计系统实现中关键的技术,也是最大的难点.本文研究了基于状态机的实时关联分析予系统的实现技术,其中详细分

2、析了攻击场景描述,场景库和分析引擎的实现方法.关键词:审计系统;关联分析;状态机;场景库;实时中图分类号:TP393.08文献标识码:AResearchandlmplementationofReal-timeAssociationAnalyzingSubsystemBasedonStateMachineinAuditSystemCHENShi—qiang(HubeiInstituteforNationalities,Enshi44.5000,China)AbsWact:TheresearchandapplicationOf

3、networkconcentrationsecurityauditsystemisbecOiJIgthefocusofworld.Itispivotalanddi〜euhtoaccuratelySlldtinmlydetectthecategoriesOfintl〜onevents.Thisp£lpermainlyresearchestlle&signandlealonofre81timea吕80cinaIla】suhsys〜nbasedon8tp〜temach〜,analysestlledfW谢onofauaek

4、sceneandn1erealizationofSCelrl〜也1乜bBseandal'engililldetail.1【ewords:audit〜tem;assocmfionalmbllg;statemaehme;scer出Ilabase;zeal-tlmeo引言网络的复杂化及攻击手段的多样化导致了单一安全设备难以准确地判断入侵行为及入侵行为造成的影响,目前ms(IntrusionDetectionsystem,入侵检测系统)的高误报率已成为安全管理面对的难题・・・1•网络集中安全审计系统[2]作为比IDS,防病毒网关,

5、防火墙等安全设备更高层次的安全系统,可以通过有效的关联全网的安全事件从而给出更加精确的判断及有效地分析攻击的有效性,提高IDS之类设备的信噪比,减少安全管理员的分析工作量.网络安全审计系统中的入侵检测分析主要包括实时关联分析和事后(离线)分析•后者广泛采用的是数据挖掘技术,通过对数据源进行关联分析来发现不同事件间的相关性,通过序列分析发掘不同数据项之间的关联性.常用的离线关联性分析算法有Apriori及其改进算法,序列分析通常采用ApriofiAll算法等.实时关联分析需要做到实时地关联全网的安全事件,实现安全事件的实时分

6、析与自动响应•实时的安全事件关联分析技术正是目前研究与应用的热点,本文主要基于状态机技术研究实现网络安全审计系统中的实时关联分析子系统.1基于状态机的实时关联检测技术实时关联分析技术L3J通过对事件的关联,可以有效地帮助过滤事件,在大量事件(甚至是误报事件)屮提取有用的信息•实时关联来自不同设备的事件,可以大大地降低IDS的误报率,发现引发事件的真正原因和隐藏的威胁•例如:如果接收到以下事件:①交换机或路由器记录了某主机大量访问其它主机的收稿日期:2005-06-22作者简介:陈世强(1974-),53,湖北宜昌人,湖北民

7、族学院讲师,硕士研究牛,研究方向:计算机软件,计算机网络与安全.2006年第6期陈世强:审计系统屮基于状态机的实时关联分析子系统研究与实现95TCP139,445端口;②SNORT记录某主机产生了大量对其它服务器的IIS攻击•单看某一类事件可能判断为IIs攻击,然而关联分析两事件后会发现可能是该主机感染了蠕虫病毒.要在海量的网络事件中进行人为的关联是不可能的,在实现中借助状态机技术来实现实时的机器关联,使用状态来维持基本的关联条件,通过事件来触发状态迁移,每个攻击场景都由数个状态构成,当通过状态迁移与状态机完成规约后,便表

8、明攻击场景发生.图1描述了可能的蠕虫攻击的状态机.E2E0:网络设备发现大量对TCP139,445端口的访问EkSNORT发现大量KS攻击,且源地址与E0相同E2:状态超时图1描述蠕虫攻击的状态机在如图2所示的典型网络环境中,当网络遭受到来自外部的DoS攻击时IDS和网络设备会产生事件日志,此时可能发生

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。