版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
1、網(wǎng)絡(luò)告警關(guān)聯(lián)是立足于“網(wǎng)絡(luò)攻擊行為間的相關(guān)性必然反映在其告警信息間的某種相關(guān)性中”這一基本認(rèn)知,通過對大量告警信息的綜合分析,發(fā)現(xiàn)各種離散告警信息間的某些聯(lián)系,進(jìn)而識別出真實(shí)攻擊行為或意圖的過程。目前的關(guān)聯(lián)方法絕大部分致力于提高告警質(zhì)量和離線分析告警之間關(guān)系,得到的結(jié)果缺乏統(tǒng)一的形式化描述,無法形成有效的知識,難以直接用于攻擊檢測和預(yù)測。 復(fù)合攻擊是由多個(gè)不可分解的攻擊步驟按照一定的邏輯關(guān)系組合而成的完整攻擊過程。復(fù)合攻擊的前后
2、步驟之間普遍存在著的因果或邏輯關(guān)系,通過告警反映出來,使得復(fù)合攻擊檢測成為可能。建立合適的復(fù)合攻擊形式化描述模型,并以此為基礎(chǔ)進(jìn)行復(fù)合攻擊檢測和后續(xù)攻擊的預(yù)測,能夠有效指導(dǎo)安全管理員及時(shí)采取針對性防御措施,防止對受保護(hù)網(wǎng)絡(luò)造成更大的危害,這比事后的分析更有意義,更加合乎人們的期望。 針對上述目標(biāo),提出了基于擴(kuò)展有向圖的復(fù)合攻擊模型和檢測方法。該方法在自動(dòng)提取攻擊行為抽象模式的基礎(chǔ)上,選擇擴(kuò)展有向圖作為表達(dá)復(fù)合攻擊行為及其約束關(guān)系
3、的模型。這樣,當(dāng)某個(gè)復(fù)合攻擊的序列部分重現(xiàn)的時(shí)候,就可以根據(jù)該模型檢測出復(fù)合攻擊,從而達(dá)到在極具威脅的攻擊步驟到來之前提前預(yù)測的目的。 復(fù)合攻擊特征和攻擊行為抽象模式提取來自于對歷史數(shù)據(jù)的分析。告警屬性之間的規(guī)律性正是復(fù)合攻擊行為模式的體現(xiàn),一旦找到便可以作為復(fù)合攻擊檢測的依據(jù),因此如何獲得告警屬性之間的規(guī)律成為建立模型的關(guān)鍵?;陬l繁情節(jié)模式挖掘算法的改進(jìn)思路建立在對告警數(shù)據(jù)特點(diǎn)分析之上:安全設(shè)備產(chǎn)生的告警是復(fù)雜數(shù)據(jù)類型,由多
4、個(gè)屬性組成,每個(gè)屬性都對攻擊模式具有約束意義。因此對告警進(jìn)行序列分析時(shí),重點(diǎn)考察類型屬性和其它屬性之間的相互關(guān)系。挖掘得到的情節(jié)模式蘊(yùn)含了不同攻擊行為之間的因果關(guān)系,并預(yù)示一個(gè)攻擊發(fā)生伴隨另外一攻擊發(fā)生的可能性,而屬性約束體現(xiàn)了攻擊步驟之間的關(guān)聯(lián)邏輯。實(shí)驗(yàn)結(jié)果表明,該方法能夠揭示攻擊行為之間的聯(lián)系,自動(dòng)形成攻擊行為模式?;跀U(kuò)展有向圖的復(fù)合攻擊模型中,節(jié)點(diǎn)表示告警類型,有向邊表示告警類之間可能存在的因果關(guān)系,邊上的約束條件體現(xiàn)了告警之間
5、確實(shí)存在某種因果關(guān)聯(lián)時(shí)需要滿足的條件,節(jié)點(diǎn)的權(quán)值表示不同類型告警的嚴(yán)重程度。該模型能夠有效表達(dá)攻擊行為之間的邏輯關(guān)系,可作為復(fù)合攻擊檢測和匹配的框架。 實(shí)時(shí)檢測以擴(kuò)展有向圖為基礎(chǔ),按照向后匹配和缺項(xiàng)匹配的方式對告警之間的關(guān)聯(lián)關(guān)系進(jìn)行分析,并使用檢測度和匹配度兩個(gè)檢測指標(biāo),來衡量復(fù)合攻擊被檢測到的比率、復(fù)合攻擊進(jìn)行到當(dāng)前步驟時(shí)與整個(gè)攻擊場景的匹配程度。當(dāng)新的告警到來時(shí),根據(jù)圖中有向邊,確定可能存在因果關(guān)聯(lián)的告警集;分析集合中告警與
6、當(dāng)前告警對之間的關(guān)聯(lián)關(guān)系,確定兩者屬于同一攻擊場景的相鄰兩步的可能性;在此基礎(chǔ)上計(jì)算復(fù)合攻擊的檢測度和匹配度,并根據(jù)得到的結(jié)果預(yù)測下一步可能發(fā)生的攻擊。該方法克服了通過匹配規(guī)則建立匹配鏈、而匹配鏈隨著數(shù)據(jù)增加可能指數(shù)增加的弊端,可以動(dòng)態(tài)、完整地恢復(fù)攻擊流程。 系統(tǒng)采用JAVA 實(shí)現(xiàn)。實(shí)驗(yàn)使用了DARPA 2000數(shù)據(jù)集和從蜜網(wǎng)和局域網(wǎng)采集到的真實(shí)數(shù)據(jù)對方法進(jìn)行驗(yàn)證,結(jié)果顯示系統(tǒng)對多步攻擊的檢測率達(dá)到93%,對多步攻擊平均可以提前
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 基于有向圖覆蓋關(guān)系的安全策略沖突檢測模型.pdf
- 基于攻擊效用的復(fù)合攻擊預(yù)測方法研究.pdf
- 基于擴(kuò)展攻擊樹的木馬檢測技術(shù)研究.pdf
- 基于有向超圖的工作流模型驗(yàn)證方法研究.pdf
- 基于模糊petri網(wǎng)的攻擊模型FAN及其擴(kuò)展模型.pdf
- 基于有向圖模型的故障診斷方法研究及其在航天中的應(yīng)用.pdf
- 基于攻擊圖模型的網(wǎng)絡(luò)安全分析方法研究.pdf
- 基于攻擊圖和Petri網(wǎng)的網(wǎng)絡(luò)攻擊模型研究.pdf
- 基于有向圖模型的備份集管理研究及其應(yīng)用.pdf
- 基于KAP有向圖模型的醫(yī)學(xué)圖像分類技術(shù).pdf
- 基于分層模糊符號有向圖模型的故障診斷方法及其應(yīng)用.pdf
- 基于隱馬爾可夫模型的復(fù)合式攻擊預(yù)測方法研究.pdf
- 基于擴(kuò)展貝葉斯攻擊圖的多指標(biāo)風(fēng)險(xiǎn)評估方法研究與實(shí)現(xiàn).pdf
- 基于有向圖的復(fù)雜事件共享檢測技術(shù)研究.pdf
- 基于有向圖頻繁挖掘的研究.pdf
- 基于模糊-隱馬爾可夫模型的復(fù)合式攻擊預(yù)測方法研究.pdf
- 基于有向圖的通用恢復(fù)模型的設(shè)計(jì)與應(yīng)用.pdf
- 一種DDOS攻擊復(fù)合式檢測方法的研究.pdf
- 有向傳感器網(wǎng)絡(luò)覆蓋方法及感知模型研究.pdf
- 基于行為分布的DDoS攻擊檢測方法.pdf
評論
0/150
提交評論