返回
基于入侵检测的分级告警关联理论和技术研究

基于入侵检测的分级告警关联理论和技术研究

ID:35185994

大小:2.98 MB

页数:111页

时间:2019-03-21

基于入侵检测的分级告警关联理论和技术研究_第页
预览图正在加载中,预计需要20秒,请耐心等待
资源描述:

《基于入侵检测的分级告警关联理论和技术研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、华中科技大学博士学位论文入侵检测的分级告警关联理论和技术研究姓名:李家春申请学位级别:博士专业:计算机系统结构指导教师:李之棠20031108摘要+Y578977随着Internet技术的高速发展,网络安全问题变得越来越敏感和重要。网络安全模型的发展情况分析指出:动态网络安全模型是适合当前分布式的、动态变化的互联网安全问题的最好模型,入侵检测是体现动态网络安全模型特点的主要组成部分之一。随着黑客攻击手段和技术的日益复杂化、更具隐蔽性和分布式发展,入侵检测在大规模分布式系统中的应用越来越受到关注,分布式系统的异构性和自治性以及传统入侵检测系统自身的缺陷使得重复性的、不完善的或不完整的告警数据大

2、量泛滥,系统管理员难于控制和管理告警数据,导致漠视告警,产生极高的误报率和漏报率,入侵意图的识别也变得更加困难,从而不能及时对入侵作出相应反应,给系统带来巨大的损失。告警关联技术是解决上述问题的一种有效方法。目前的告警关联技术虽然取得了一定的进展,但它们还存在许多急需改进的地方,例如,不能同时处理各种特征混合的告警关联;关联结果不能识别真正攻击意图;没有考虑丢失告警数据的恢复以及缺乏后关联机制等。故离问题的解决仍有很大的距离。分级告警关联理论和技术的提出可以有效地解决上述问题。分级告警关联由三个关联处理层构成,即原始事件归约层、原子事件关联层和攻击意图识别层。告警数据分布式的特点使得同一攻击

3、事件可能给出了若干个告警,导致重复性告警数据的泛滥,原始事件归约层采用实时归约算法,通过实时搜索并匹配给定时间Et间隔内的告警数据的各特征(AttackName,Source,Target,Service)进行合并和归约,可以有效地精简重复性告警数据。原子事件关联层采用混合关联技术:自调节增量贝叶斯分类器和实时因果关联算法共同作用进行原子事件的关联。对于攻击发生时问非常同步的具有关联关系的告警数据,其相应特征(如攻击名、源/目的口地址和端13等)之间一定存在相似性,其相似度的计算可以采用贝叶斯分类器参数估计来完成,考虑到告警数据的海量特征、攻击方式属性取值的特殊性以及相关特征属性的环境特定性

4、,提出使用自’本文的研究T作受国家信息安全应急计划资助项目(863—301—06—01)、国家信息安全办公室资助项目(200i一研l一004)和武汉市科技计划基金资助项目(200101111)的资助-麓‰舅懈煮潺繁增量贝时额分类器寒完藏具有最小时阗接近痉(对于溃露扫搐可以逶当放宽时间接j丘值)的告警数据间的概率关联,由此可以提高关联(分类)效果、减小关联跨算复杂度葶fl润遂娥模;攻毒事件一般不会孤立出筑,在一跤时闯塞嗣雨存在关联的告警数据,彼此之间必然存在因果关系,即一个攻击的执行总是在为后面的攻击箨准备,壹到达到最终酶瑟意强的为斑,毽羹笔对于攻击发生时蕊跨蹙较大汝告警,采用实时因果关联算法

5、来进行告警关联。通过建立攻击因果模型(和后面的规划模奎一致),郎三元组(攻击名,发生翁提条臀,发垒三盾可能结采),螽两两项为原子谓词或谓词公式形式,构造单个原子攻击的知识库,使用SQL语句(SE糙!CT-FROM.w辑E瑚!)离线查找出所有的攻击关联,自动生成告警关联知识库,然后在线接受告警数据,实时进行关联处理,重构出攻击场景。混合关联技术的弓j入可以她理函采关联和菲因果关联共存一个告警数据集的情形,扶而进一步地精简了告警数据,并在更大程度上提离了告警关联率,降低了误告警率,固时对检测率影响也不大。攻击意图识剐层又舔为后关联层,它有麟个作熙,第一:试图找圈丢失魄关键告警,使得目前断连的、但

6、实际却是关联的告警数据可以关联,从而提高攻击场景螅重构率。簿二:对予攻击鳕为隶属多个不阚攻击场景,但鬏终攻毒悫墨不秘数’凑形则使用对抗式规划沮别模型来选择最优攻击场景路径,以较准确地榔读攻击意图。使用援划求辫方法怼攻壹过程(即攻毒殇景)建搂,势爱遗鹜安全繁貉懿系统状态对攻击意图建模,引入虚拟告警表示丢失的告警数据,并使用实时因果关联算法和基予凝率传播酾更囊簿法静煲时囊溺攘瑾模黧完藏了。至述功黥。实镶表明所提出豹算法能较准确地定位攻击意图、理解攻击策略。篌餍MITLincolnLab绘篷的2000DARPALLDOSl。0帮ShmooGroup收集豹DEFCON8CTF数据集分别对分级告警关联

7、算法进行了性能测试,实验验证了算法的有效{生。关键词:分椎式入侵枪测;告警关联;贝叶斯分类器;因果关联;规划;规划识别攻击场景UAbstract+Withhigh—speeddevelopmentofIntemettectmologies,networksecurityhasbecomemoreandmoresensitiveandimportant。Thedevelopmentanalysisofnetwo

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。