基于關(guān)聯(lián)分析的入侵檢測(cè)技術(shù)研究.pdf

1、隨著計(jì)算機(jī)技術(shù)的發(fā)展，網(wǎng)絡(luò)結(jié)構(gòu)日趨復(fù)雜，入侵手段日趨多樣化，入侵檢測(cè)系統(tǒng)在過(guò)去幾年的研究主要集中在體系架構(gòu)和檢測(cè)方法上，在不斷取得突破的同時(shí)，也暴露出一些諸如事件風(fēng)暴、誤報(bào)率和漏報(bào)率高、上下文不明確等問(wèn)題，嚴(yán)重影響了入侵檢測(cè)系統(tǒng)的性能。為了解決上述問(wèn)題，人們將關(guān)聯(lián)分析技術(shù)引入入侵檢測(cè)系統(tǒng)，開(kāi)發(fā)了關(guān)聯(lián)分析型入侵檢測(cè)系統(tǒng)。 因果關(guān)聯(lián)法是警報(bào)關(guān)聯(lián)分析中的重要方法，能夠發(fā)現(xiàn)攻擊間的邏輯步驟，揭示隱藏在警報(bào)背后的攻擊策略。本文重點(diǎn)研究基于

2、因果關(guān)系的關(guān)聯(lián)分析型入侵檢測(cè)系統(tǒng)，主要工作如下： 首先，提出一種警報(bào)漏報(bào)關(guān)聯(lián)算法。針對(duì)現(xiàn)有關(guān)聯(lián)分析型入侵檢測(cè)系統(tǒng)中存在的警報(bào)漏關(guān)聯(lián)問(wèn)題進(jìn)行研究，深入分析攻擊類型及攻擊發(fā)生的前提條件和結(jié)果，在此基礎(chǔ)上定義了漏報(bào)關(guān)聯(lián)規(guī)則，能夠有效的檢測(cè)到入侵檢測(cè)系統(tǒng)的漏報(bào)。 其次，提出一種攻擊預(yù)測(cè)算法。通過(guò)對(duì)警報(bào)信息的合成、關(guān)聯(lián)、分類處理后，依據(jù)攻擊行為間的因果關(guān)系及時(shí)序關(guān)系進(jìn)行預(yù)測(cè)，揭示攻擊者的入侵意圖和入侵趨勢(shì)，提前阻止攻擊的發(fā)生。

3、 再次，構(gòu)建了具有攻擊預(yù)測(cè)功能的關(guān)聯(lián)分析型入侵檢測(cè)系統(tǒng)。針對(duì)現(xiàn)有關(guān)聯(lián)分析型入侵檢測(cè)系統(tǒng)過(guò)分依賴警報(bào)信息，一條攻擊被漏報(bào)將導(dǎo)致隨后的整個(gè)攻擊序列被漏報(bào)的嚴(yán)重后果，本文對(duì)原系統(tǒng)進(jìn)行改進(jìn)，添加了漏報(bào)分析模塊和攻擊預(yù)測(cè)模塊，解決了原系統(tǒng)中存在的問(wèn)題，并使改進(jìn)的系統(tǒng)具有預(yù)測(cè)功能。 最后，作為這些研究成果的應(yīng)用，本文在Linux平臺(tái)用c程序?qū)崿F(xiàn)了改進(jìn)的系統(tǒng)模型，并模擬網(wǎng)絡(luò)入侵事件對(duì)系統(tǒng)攻擊，進(jìn)行了大量的測(cè)試實(shí)驗(yàn)，總結(jié)系統(tǒng)的各方面性能，分