基于因果關(guān)聯(lián)攻擊場景重構(gòu)的方法研究.pdf

1、隨著Internet的迅猛發(fā)展和網(wǎng)絡(luò)社會的到來，網(wǎng)絡(luò)將會無所不在地影響社會的政治、經(jīng)濟(jì)、文化、軍事和社會生活等方面，信息安全已成為世界各國共同關(guān)注的焦點(diǎn)。除了要進(jìn)行信息的安全保護(hù)外，還應(yīng)該重視提高系統(tǒng)的入侵檢測能力、系統(tǒng)的事件反應(yīng)能力以及系統(tǒng)遭到入侵破壞后的快速恢復(fù)能力。至此，入侵檢測已成為網(wǎng)絡(luò)安全中極為重要的一個課題，也是一個迅速發(fā)展的領(lǐng)域。作為信息安全保障中的重要環(huán)節(jié)，入侵檢測很好解決了訪問控制、身份認(rèn)證等傳統(tǒng)保護(hù)機(jī)制所不能的問題。

2、網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的不斷復(fù)雜化和大型化，給入侵檢測領(lǐng)域帶來了許多新的挑戰(zhàn)和問題，主要體現(xiàn)為：(1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個主機(jī)上，這些漏洞可能被入侵者利用一起來攻擊網(wǎng)絡(luò)，而依靠唯一的為單機(jī)或小規(guī)模網(wǎng)絡(luò)環(huán)境設(shè)計的傳統(tǒng)的IDS難于勝任檢測任務(wù)。(2)互聯(lián)網(wǎng)的蠕蟲事件和分布式拒絕服務(wù)攻擊充分表明攻擊行為正加速朝分布式發(fā)展，入侵行為不再是單一的行動，而表現(xiàn)為彼此協(xié)作入侵的特征。(3)入侵檢測所依靠的數(shù)據(jù)來源分散化，收集原始檢測數(shù)據(jù)變得困難。(

3、4)網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量也越來越大，集中處理原始數(shù)據(jù)的方式往往造成檢測瓶頸，導(dǎo)致漏報。這些都促進(jìn)了學(xué)者對入侵檢測中攻擊告警信息關(guān)聯(lián)技術(shù)的積極研究。本論文從全局視點(diǎn)出發(fā)，首先對入侵檢測技術(shù)進(jìn)行能夠了較全面的分類，并介紹了其原理及應(yīng)用，再深入地對告警信息的關(guān)聯(lián)技術(shù)進(jìn)行分析研究和比較，利用各攻擊的前提與結(jié)果間隱含的因果關(guān)系，提出了間接發(fā)起和發(fā)起約束條件的概念，探討了警報間遺漏攻擊的分析發(fā)現(xiàn)的方法。在此基礎(chǔ)上提出了一種重構(gòu)攻擊場景的方法