返回
网络攻击特征的提取技术分析.doc

网络攻击特征的提取技术分析.doc

ID:61770647

大小:32.50 KB

页数:6页

时间:2021-03-19

网络攻击特征的提取技术分析.doc_第1页
网络攻击特征的提取技术分析.doc_第2页
网络攻击特征的提取技术分析.doc_第3页
网络攻击特征的提取技术分析.doc_第4页
网络攻击特征的提取技术分析.doc_第5页
资源描述:

《网络攻击特征的提取技术分析.doc》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、网络攻击特征的提取技术分析攻击特征自动提取定义与分类攻击特征自动提取分为攻击发现和提取特征两个基本步骤。因此,与入侵检测系统可以分为网络IDS(NIDS)和主机IDS(HIDS)类似,根据发现攻击的位置不同,攻击特征自动提取也可以分为基于网络和基于主机的两大类,分别简记为NSG(network-basedsignaturesgeneration)和HSG(host-basedsignaturesgeneration)。1)NSG主要是通过分析网络上的可疑数据来提取字符型的特征。字符型的特征是指通过字符串(二进制串)的组成、分布或频率来描述攻击。N

2、SG系统一般通过数据流分类器或Honeypot系统来发现网络数据中可疑的攻击行为,并获得可能包括了攻击样本的可疑网络数据;然后将其分成两个部分,一部分NSG系统[8~9]对这些可疑数据进行聚类,使得来自同一攻击的数据聚为一类,再对每一类提取出攻击特征,另一部分NSG系统则没有聚类过程,而是直接分析混合了多个攻击样本的数据,提取可以检测多个攻击的特征。最终NSG系统将提取出的攻击特征转化为检测规则,应用于IDS系统的检测。2)HSG主要是指检测主机的异常并利用在主机上采集的信息来提取攻击特征。根据获得主机信息的多少,HSG又可以进一步分为白盒HSG

3、方法、灰盒HSG方法和黑盒HSG方法三类。白盒HSG方法需要程序源代码,通过监视程序执行发现攻击行为的发生,进而对照源程序提取出攻击特征;灰盒HSG方法不需要程序源代码,但是必须密切地监视程序的执行情况,当发现攻击后通过对进程上下文现场的分析提取攻击特征;黑盒HSG方法最近才提出,它既不需要程序源代码也不需要监视程序的执行,而是通过自己产生的“测试攻击数据”对程序进行攻击,如果攻击成功,表明“测试数据”有效,并以该“测试数据”提取出攻击的特征。基于网络的攻击特征自动提取技术6学海无涯下面介绍几种NSG方法。基于最长公共子串方法早期的NSG系统[1

4、0~11]大多采用提取“最长公共子串”(LCS)的方法,即在可疑数据流中查找最长的公共子字符串。虽然基于后缀树计算两个序列的LCS可在线性时间内完成[12],但是LCS方法仅仅提取单个最长的特征片段,并不足以准确描述攻击。基于固定长度负载出现频率方法Autograph[13]按照不同的方法将可疑数据流划分为固定长度的分片,然后基于Rabinfingerprints算法[14]计算分片在所有可疑数据流中出现的频繁度,最后将频繁度高的分片输出为攻击特征。该方法存在的问题是难以选取固定长度的大小、计算开销和存储开销大、没有考虑攻击变形情况。YongTa

5、ng等人将可疑数据流中含有多个特征片段的固定长度部分定义为“关键区域”,并利用Expectation-Maximization(EM)[15]和GibbsSampling[16]这两种迭代计算算法查找关键区域。但是”关键区域”长度选取困难、算法不能确保收敛限制了该方法的有效性。基于可变长度负载出现频率基于可变长度负载出现频率的方法是当前比较有效的特征提取方法,由Newsome等人在本世纪初Polygraph[17]的研究中首次提出。可变长度负载出现频率是指长度大于1的在可疑数据流中频繁出现的字符串,可变长度负载出现频率长度不固定,每一个可变长度负

6、载出现频率可能对应于攻击中的一个特征片段。因此,基于可变长度负载出现频率的方法的核心是提取出数据流中频繁度大于一定阀值的所有可变长度负载出现频率,一般都采用遍历前缀树的算法[18~19]。以可变长度负载出现频率为核心,Poly-graph输出三类攻击特征:1)可变长度负载出现频率组成的集合,称为ConjunctionSignature;2)可变长度负载出现频率组成的序列,称为Token-subsequenceSignature;3)可变长度负载出现频率附加贝叶斯概率值,称为BayesSigna-ture。Polygraph在设计时考虑了攻击变形的

7、情况,并且首次引入聚类过程,因此大大提高了提取特征的准确性。基于有限状态自动机Vinod等人提出的有限状态自动机[20]首先对可疑数据流进行聚类,然后对每一类中的数据流应用sk-strings[21]算法生成一个有限状态自动机,最后将有限状态自动机转化为攻击特征。有限状态自动机的主要创新是在特征提取过程中考虑了网络协议的语义,因而可以在网络层和会话层分别提取特征。然而因为需要协议的语义,所以有限状态自动机只对特定的几种协议有效,而通用性较差。6学海无涯基于主机的特征自动提取技术6学海无涯HSG的研究也是目前研究比较多的技术,经过几年的发展也取得了

8、很好的进展,产生了一些重要的研究成果。下面针对三类方法分别进行介绍。白盒方法因为需要程序源代码,适用性较差,所以基于白盒方法的HSG系统

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。