基于狀態(tài)遷移的入侵場(chǎng)景檢測(cè)系統(tǒng).pdf

1、隨著Internet技術(shù)的迅速發(fā)展，網(wǎng)絡(luò)入侵問(wèn)題也越發(fā)嚴(yán)重，入侵檢測(cè)己成為網(wǎng)絡(luò)防護(hù)安全體系中的重要組成部分。入侵檢測(cè)系統(tǒng)通過(guò)從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)系統(tǒng)中的若干關(guān)鍵點(diǎn)收集信息并對(duì)其進(jìn)行分析，以發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。
　　傳統(tǒng)的入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）只能檢測(cè)低水平的攻擊，而且僅產(chǎn)生一些孤立的報(bào)警，這使系統(tǒng)管理員很難理解這些孤立的報(bào)警，也不可能依據(jù)這

2、些報(bào)警做出適當(dāng)?shù)奶幚硇袨?。?shí)際中每種攻擊都是由一系列小的階段組成的，這些階段會(huì)產(chǎn)生相應(yīng)的報(bào)警，利用這些報(bào)警作為特征場(chǎng)景（scenario），可以使用它們作為攻擊的特征，來(lái)描述和代表攻擊。本文把IDS報(bào)警歸類為若干種超報(bào)警（Hyper-Alert）類型，為每種超報(bào)警類型定義相應(yīng)的攻擊條件和攻擊結(jié)果，通過(guò)對(duì)超報(bào)警的關(guān)聯(lián)分析，生成超報(bào)警關(guān)聯(lián)圖，構(gòu)建出攻擊過(guò)程，從而揭示出攻擊者的攻擊策略和攻擊意圖。
　　本文提出了一種基于規(guī)則的層次模型，

3、而且采用了開(kāi)源的專家系統(tǒng)（CLIPS/Drools）作為規(guī)則的推理引擎，分析和構(gòu)建攻擊場(chǎng)景。本文完成了規(guī)則的設(shè)計(jì)，專家系統(tǒng)規(guī)則模板的構(gòu)造，以及一個(gè)完整的入侵檢測(cè)系統(tǒng)的實(shí)現(xiàn)。該系統(tǒng)使用了專家系統(tǒng)和狀態(tài)遷移的入侵檢測(cè)技術(shù)，能夠?qū)nort報(bào)警進(jìn)行實(shí)時(shí)場(chǎng)景檢測(cè)，并對(duì)檢測(cè)出的攻擊進(jìn)行場(chǎng)景還原，生成攻擊圖，據(jù)此可以清楚地看到攻擊的過(guò)程。最后，對(duì)分別采用CLIPS和Drools作為專家推理系統(tǒng)的入侵檢測(cè)系統(tǒng)進(jìn)行了效率比較和分析。
　　本方法的

4、優(yōu)點(diǎn)主要體現(xiàn)在基于狀態(tài)遷移和專家系統(tǒng)技術(shù)的攻擊場(chǎng)景檢測(cè)系統(tǒng)能夠把大量的IDS報(bào)警歸類為不同的攻擊場(chǎng)景，每一個(gè)場(chǎng)景代表攻擊的一個(gè)階段，然后專家系統(tǒng)對(duì)這些場(chǎng)景進(jìn)行關(guān)聯(lián)分析，生成攻擊場(chǎng)景圖。這樣網(wǎng)絡(luò)安全管理員就不需要一個(gè)一個(gè)地觀察報(bào)警信息，他們可以根據(jù)場(chǎng)景圖很好地理解這些報(bào)警數(shù)據(jù)，然后對(duì)真正的安全問(wèn)題做出正確的判斷和處理。管理員還可以根據(jù)攻擊發(fā)生后這些攻擊形成的場(chǎng)景和階段發(fā)現(xiàn)入侵者的攻擊策略，據(jù)此可以更有效的維護(hù)系統(tǒng)以免遭受同類型的攻擊。同時(shí)