基于協(xié)議的安全聯(lián)動(dòng)行為分析與檢測技術(shù)研究.pdf

1、網(wǎng)絡(luò)安全聯(lián)動(dòng)技術(shù)的提出體現(xiàn)了協(xié)同防御、主動(dòng)動(dòng)態(tài)防御和智能化安全管理的潮流。隨著安全聯(lián)動(dòng)技術(shù)的發(fā)展，越來越多的安全聯(lián)動(dòng)機(jī)制被應(yīng)用和部署在實(shí)際網(wǎng)絡(luò)中，安全聯(lián)動(dòng)機(jī)制自身的安全問題也顯得越來越重要。安全聯(lián)動(dòng)機(jī)制作為安全協(xié)同防御的關(guān)鍵環(huán)節(jié)，已成為一些不法分子攻擊的主要目標(biāo)。因此，本文立足于安全聯(lián)動(dòng)技術(shù)的特點(diǎn)，著重于安全聯(lián)動(dòng)行為的分析與檢測技術(shù)研究，以達(dá)到安全聯(lián)動(dòng)行為運(yùn)行狀況可掌握、異常行為可發(fā)現(xiàn)的目的，保障安全聯(lián)動(dòng)機(jī)制的正常運(yùn)行。
　　目前

2、，通用的應(yīng)用層行為分析與檢測技術(shù)沒有結(jié)合安全聯(lián)動(dòng)行為的特點(diǎn)，缺乏對安全聯(lián)動(dòng)行為的準(zhǔn)確理解與描述，難以對安全聯(lián)動(dòng)行為進(jìn)行細(xì)粒度地分析與檢測。為實(shí)現(xiàn)安全聯(lián)動(dòng)行為的分析與檢測，本文從安全聯(lián)動(dòng)協(xié)議識別、安全聯(lián)動(dòng)行為識別和安全聯(lián)動(dòng)行為異常檢測三個(gè)方面進(jìn)行了深入地研究，主要工作如下：
　　1．為了實(shí)現(xiàn)安全聯(lián)動(dòng)協(xié)議的識別，針對安全聯(lián)動(dòng)協(xié)議的特點(diǎn)，提出了一種基于特征描述和改進(jìn)決策樹的安全聯(lián)動(dòng)協(xié)議識別方法。為使安全聯(lián)動(dòng)協(xié)議特征的提取與存儲(chǔ)更加規(guī)范，

3、基于包頭字段和負(fù)載特征對協(xié)議特征進(jìn)行統(tǒng)一描述，并構(gòu)建了安全聯(lián)動(dòng)協(xié)議特征庫；為提高識別的效率，對決策樹算法進(jìn)行改進(jìn)與優(yōu)化，研究了基于改進(jìn)決策樹構(gòu)建和分層決策樹搜索算法的安全聯(lián)動(dòng)協(xié)議識別技術(shù)。實(shí)驗(yàn)表明，該方法具有較高的準(zhǔn)確性和執(zhí)行效率。
　　2．針對安全聯(lián)動(dòng)行為的細(xì)粒度識別問題，基于消息序列圖的思想，提出了一種安全聯(lián)動(dòng)行為模式構(gòu)建與識別方法。為直觀簡潔地描述安全聯(lián)動(dòng)行為的交互過程，基于消息序列圖的思想，設(shè)計(jì)了協(xié)議消息序列挖掘算法，構(gòu)建

4、出協(xié)議消息序列圖以表示安全聯(lián)動(dòng)行為模式；利用消息相似性度量函數(shù)對單個(gè)協(xié)議消息進(jìn)行比對，設(shè)計(jì)了協(xié)議消息序列匹配算法，實(shí)現(xiàn)了安全聯(lián)動(dòng)行為的識別。實(shí)驗(yàn)表明，該方法構(gòu)建出的安全聯(lián)動(dòng)行為模式直觀準(zhǔn)確，安全聯(lián)動(dòng)行為識別算法具有較高的準(zhǔn)確性。
　　3．針對安全聯(lián)動(dòng)行為中存在的異常情形，提出了一種基于規(guī)則的安全聯(lián)動(dòng)行為異常檢測方法。從異常的角度進(jìn)行分析與考慮，針對安全聯(lián)動(dòng)行為在交互過程中存在的異常情形，綜合利用基于協(xié)議交互過程模型和基于交互行為統(tǒng)