濫用入侵檢測系統(tǒng)中入侵表示的研究.pdf_第1頁
已閱讀1頁,還剩112頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

1、由于誤報率低并且報警結(jié)論明確,濫用檢測一直是實踐中入侵檢測系統(tǒng)(IDS)主要采取的技術(shù)。同時,面對現(xiàn)實中越來越多的多階段入侵,人們的共識是將多階段入侵視為由多個行為組成、持續(xù)一段時間且分布在一定空間范圍的過程,提煉入侵作用在系統(tǒng)各階段、各層面上的特征細節(jié),然后在濫用檢測的框架下進行檢測。因此在入侵的新形勢下,濫用檢測必將發(fā)揮更加重要的作用。描述是檢測的前提,濫用檢測的效果嚴重依賴于規(guī)則庫的質(zhì)量。只要規(guī)則庫不完備,IDS就一定會漏報;只要

2、規(guī)則不精確,IDS就一定會誤報。然而,目前規(guī)則庫的建立主要依賴人類專家的經(jīng)驗,從入侵特征的抽取、編碼到實現(xiàn)的每一步都可能引入有效性的缺失,存在正確性和完備性難以保證、以及維護成本高的缺點。隨著新攻擊的不斷涌現(xiàn),而且新攻擊多數(shù)表現(xiàn)為多階段復雜攻擊,完全依賴人工保證規(guī)則庫的有效性將變得越來越困難,從而對其進行系統(tǒng)研究并開發(fā)有助于提高它的質(zhì)量的方法和工具成為非?,F(xiàn)實而迫切的需求。 本文對濫用IDS中入侵表示問題進行研究,全面分析了引起

3、規(guī)則庫有效性缺失的原因,探索了限制這種缺失的可能方法和工具,目標是提高規(guī)則庫的質(zhì)量,并以此來提高濫用IDS的檢測精度。本論文從四個方面展開了研究:入侵表示的分類和比較、檢測語言模型、入侵檢測規(guī)則的沖突檢查以及濫用IDS的評估方法。首先對入侵表示的一般性質(zhì)和需求進行研究,通過對現(xiàn)有的入侵表示技術(shù)進行分類和比較,目的是回答“對特定的應用需求,什么樣的入侵表示技術(shù)更合適?進一步地說,如果現(xiàn)有的入侵表示技術(shù)都不理想,那么存在的問題以及可能的優(yōu)化

4、方向是什么?”這樣的問題。本文從兩個層次進行分類和比較,首先按照本體約束(這是入侵表示最本質(zhì)的屬性,與觀察入侵的角度和方式有關)將入侵表示技術(shù)分成行為規(guī)則、行為的因果關系、行為的擴散性、行為的無目的性和系統(tǒng)狀態(tài)模式6個大類。通過對本體約束的比較,揭示了行為規(guī)則本體約束的普適性以及在面臨網(wǎng)絡環(huán)境和多階段入侵時使用不便的缺點,指明了入侵表示技術(shù)的研究方向。 本文進一步對行為規(guī)則類的對象(統(tǒng)稱檢測語言,是入侵表示領域的主要成果,并且數(shù)

5、量上具有了一定規(guī)模)進一步細分和比較,提出了由表達能力、表示簡潔性和檢測強度3個測度組成的評估方法,使得至少在這3個方面可對檢測語言進行準確的定量的比較。理想的檢測語言是在每個方面最優(yōu),但實際上很難做到,設計者通常要針對應用有所取舍,但本文沒有考慮這個問題?;趥鹘y(tǒng)檢測語言在面臨網(wǎng)絡環(huán)境和多階段入侵時表現(xiàn)出的缺點,本文將面向?qū)ο蟮南到y(tǒng)分析和設計方法引入檢測語言,提出一種基于對象的檢測語言模型OBDL。利用OBDL,人類專家在抽取和描述入

6、侵特征的過程中,能夠充分地、自由地運用抽象,因此入侵特征可以以最符合人類思維模式的形態(tài)存在,不僅容易理解而且能夠提高入侵特征的通用性,使濫用IDS具備一定的檢測入侵變型的能力。本文詳細介紹了OBDL的基本原理,給出了OBDL的抽象語法,最后給出了OBDL的實現(xiàn)模型——一種擴展的不確定性有窮自動機ENFA,以及將陳述性的0BDL特征變換成ENFA的算法。 由于入侵特征的抽取和表示主要由人類專家手工進行,無論專家們?nèi)绾涡⌒闹斏?、檢測

7、語言的設計如何巧妙,錯誤總是在所難免。為此,提出一種面向單事件特征的沖突檢查方法,它能夠發(fā)現(xiàn)同一事件同時匹配兩條或多條入侵檢測規(guī)則的沖突現(xiàn)象。沖突導致檢測結(jié)果的不確定性。對Snort規(guī)則庫的實驗表明:沖突在規(guī)則庫中是實際存在的,而且以交叉沖突為主,這與人類思維的局限性有關。雖然僅從規(guī)則之間的形式?jīng)_突,無法直接推斷入侵檢測規(guī)則的完備性和精確性,但它至少為安全專家有目的地檢查規(guī)則質(zhì)量提供有價值的參考。 由于入侵表示與實現(xiàn)它的IDS是

8、緊耦合的,使得即使在檢測語言、安全專家和形式檢查的多方努力下入侵檢測規(guī)則正確無誤,仍不代表IDS就得到期望的檢測結(jié)果,這與濫用IDS的實現(xiàn)質(zhì)量有關,因此最后研究評估濫用IDS實現(xiàn)質(zhì)量的方法。從濫用IDS的原理出發(fā),本文分析了目前評估方法在應用于濫用IDS時存在的問題,提出對規(guī)則庫和IDS實現(xiàn)分別評估的原則,重點研究了IDS實現(xiàn)的測度選取,并分類討論了測度計算的總體思路。在此基礎上,本文給出了面向濫用。IDS實現(xiàn)的評估系統(tǒng)的實現(xiàn)模型,并實

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論