基于drools的安全事件回放研究及应用

《基于drools的安全事件回放研究及应用》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、北京化T人学烦l?学位论义对单个属性间的相似度计算，分别采用相应的规则。例如，对源IP地址的相似度计算，可以设定：f0(完全不相似)s肼(x，妒，‘争)={o．8(同一子网)⋯⋯⋯⋯⋯(1．2)I1(相同IP)L还有一种算法是针对实时操作的冗余判断，也可以在冗余分析中应用。需要对Events的以下4个属性进行考察，以确定待检测的多个Events是否确实属于Duplicate事件，第5个属性给出Duplicate事件的敏感度。AttackName：入侵事件的攻击名称，该属性指明Senso墒!测到发生了哪

2、种攻击。S0urceIPAddress；发起攻击者的IP地址。TargetIPAddress：遭受攻击者的IP地址。DetectTime：Sellsor检测到攻击发生的时间戳。Severity：经过归约处理后的Events敏感度，指出了该事件对系统安全的威胁程度，它的值为0．1。若取值为0时，说明Duplicate事件对系统安全无影响，可以简单地丢弃该事件。假设系统所有待分析的事件并按照攻击类型分类整理。当需要判断事件EventsB后，系统采用R1rDRA算法查找Duplicate事件，进行事件归约：

3、(1)根据B的AttackName进行分类，查找相应攻击类型的事件列表。若B属于SQ～N或者DOS类，则转SCAN．DOS处理函数进行处理。(2)遍历该攻击的事件列表，按B．>Source口搜索，设找到EventsA。如A具有与B相同的源地址，则继续按B．>TargetIP匹配，若匹配成功，转(4)；若匹配不成功，则转(2)重新按B源地址进行匹配。若事件列表己空，转(3)。(3)将B加入到属于AttaCkN锄e攻击类型的事件列表，将DetectTime计入StartDetectTime字段并启动计数器

4、、退出本函数，等待下一个Events的到来。(4)判断B与A是Duplicate事件。则A事件Count属性计数加1。2．因果关联分析。(1)事件关联算法根据其对先验知识的依赖程度可以划分为两类：有指导关联算法和无指导关联算法【91。所谓有指导关联算法指的是在先验知识的指导下，完成整个事件关联过程。而无指导关联算法不需要先验知识的帮助而完成事件关联的整个关联工作。①而有指导关联算法又包括基于单个攻击发生的前提条件和后果的事件关联方法和基于攻击序列模板的事件关联方法。基于单个攻击发生的前提条件和后果的事

5、件关联方法的其安全知识一般表示为三元组：(Anack，Prerequisites，Consequences)，其中A札ack代表攻击动作名，4第一章绪论Prcl．equisites代表攻击发生的前提条件，而Conscquenccs代表攻击发生后给整个系统所造成的影响。其关联算法的总体思想就是用攻击ani发生后的后续结果和攻击attj发生的前提条件去进行匹配，如果能够全部或部分匹配，则表明攻击ani和atlj是具有因果联系的，从而可完成两者之问的关联工作。基于单个攻击发生的前提条件和后果的事件关联方法是

6、现在研究最多的一种关联方法。基本思路可以概括为如图1．1所示。／——————————————、．／———————————————、、f事件x的Prerequisites1f事件Y的consequenceS1L竺!!譬竺二竺人＼、／7L竺!!娑竺二■L—≤爹一i图1．1前提条件和后果事件关联Fig．1-1C'o盯elalion0fprerequisites趾dcon∞queno锶这种方法中有代表性的包括如下两种。I．报警事件的超类型(HyperTypc)，该类型是一个三元组(Fact，Prerequis

7、ite，C0nsequence)，其中Fact代表攻击发生的时候的事实，Prercquisite代表发生该攻击的前提条件，而Consequencc代表攻击发生后带来的后果，基于以上类型定义对事件关联方法，攻击图的生成，攻击取证，攻击路径恢复等问题展开了广泛的研究。形式化定义了报警事件的超级类型跋生的前序条件集(标记为Prcrep(D)，后续结果集(标记为Conseq(，r))和扩展后续结果集(标价为ExpConseq(rr))。基于以上定义给出了超类型事件无】和J}12之间的可关联性的判断算法【loj

8、：a．如果存在p∈Prereq(h2)和c∈ExpConseq(h1)，且p=c和c．e加一time