基于因果關聯攻擊場景重構的方法研究.pdf

1、隨著Internet的迅猛發(fā)展和網絡社會的到來，網絡將會無所不在地影響社會的政治、經濟、文化、軍事和社會生活等方面，信息安全已成為世界各國共同關注的焦點。除了要進行信息的安全保護外，還應該重視提高系統(tǒng)的入侵檢測能力、系統(tǒng)的事件反應能力以及系統(tǒng)遭到入侵破壞后的快速恢復能力。至此，入侵檢測已成為網絡安全中極為重要的一個課題，也是一個迅速發(fā)展的領域。作為信息安全保障中的重要環(huán)節(jié)，入侵檢測很好解決了訪問控制、身份認證等傳統(tǒng)保護機制所不能的問題。

2、網絡系統(tǒng)結構的不斷復雜化和大型化，給入侵檢測領域帶來了許多新的挑戰(zhàn)和問題，主要體現為：(1)系統(tǒng)的弱點或漏洞分散在網絡中各個主機上，這些漏洞可能被入侵者利用一起來攻擊網絡，而依靠唯一的為單機或小規(guī)模網絡環(huán)境設計的傳統(tǒng)的IDS難于勝任檢測任務。(2)互聯網的蠕蟲事件和分布式拒絕服務攻擊充分表明攻擊行為正加速朝分布式發(fā)展，入侵行為不再是單一的行動，而表現為彼此協(xié)作入侵的特征。(3)入侵檢測所依靠的數據來源分散化，收集原始檢測數據變得困難。(

3、4)網絡速度傳輸加快，網絡的流量也越來越大，集中處理原始數據的方式往往造成檢測瓶頸，導致漏報。這些都促進了學者對入侵檢測中攻擊告警信息關聯技術的積極研究。本論文從全局視點出發(fā)，首先對入侵檢測技術進行能夠了較全面的分類，并介紹了其原理及應用，再深入地對告警信息的關聯技術進行分析研究和比較，利用各攻擊的前提與結果間隱含的因果關系，提出了間接發(fā)起和發(fā)起約束條件的概念，探討了警報間遺漏攻擊的分析發(fā)現的方法。在此基礎上提出了一種重構攻擊場景的方法