基于序列的多步驟攻擊邏輯挖掘算法研究與實現(xiàn).pdf

1、入侵檢測作為保護計算機網(wǎng)絡免受威脅的關鍵技術和重要手段,是網(wǎng)絡安全領域研究的熱點問題。隨著網(wǎng)絡技術的發(fā)展,新的攻擊類型層出不窮,特別是分布式攻擊或多步驟攻擊等復雜攻擊類型,不僅具有很好的隱藏性,而且往往具有更大的危害。
　　在對應用系統(tǒng)的各種攻擊行為中,相同意圖的惡意行為往往具有不同的序列組合,導致現(xiàn)有入侵檢測系統(tǒng)在捕捉具有因果關系的惡意行為時,很難還原出真實的攻擊場景。為了準確找出多步驟攻擊中復雜的邏輯關系,本文重點研究了以序列

2、分析為基礎的攻擊檢測方法。
　　首先研究了一種以IP等價類為基礎的行為抽取機制,并對IP等價類大小的閾值進行了分析,并給出了合理閾值選取原則,基于IP等價類可在不需任何參數(shù)與預先知識的條件下自動地抽取網(wǎng)絡行為序列;然后基于報警關聯(lián)圖的方式對抽取的行為序列進行描述,并在此基礎上基于滑動窗口的N元語法關聯(lián)算法生成相異度矩陣,其中N元語法關聯(lián)算法用于適應不同行為序列產(chǎn)生的變異、行為交錯和長片段插入等現(xiàn)象;最后,通過流形學習的方式從大量的