基于因果關(guān)聯(lián)攻擊場(chǎng)景重構(gòu)的方法研究.pdf

1、隨著Internet的迅猛發(fā)展和網(wǎng)絡(luò)社會(huì)的到來(lái)，網(wǎng)絡(luò)將會(huì)無(wú)所不在地影響社會(huì)的政治、經(jīng)濟(jì)、文化、軍事和社會(huì)生活等方面，信息安全已成為世界各國(guó)共同關(guān)注的焦點(diǎn)。除了要進(jìn)行信息的安全保護(hù)外，還應(yīng)該重視提高系統(tǒng)的入侵檢測(cè)能力、系統(tǒng)的事件反應(yīng)能力以及系統(tǒng)遭到入侵破壞后的快速恢復(fù)能力。至此，入侵檢測(cè)已成為網(wǎng)絡(luò)安全中極為重要的一個(gè)課題，也是一個(gè)迅速發(fā)展的領(lǐng)域。作為信息安全保障中的重要環(huán)節(jié)，入侵檢測(cè)很好解決了訪問(wèn)控制、身份認(rèn)證等傳統(tǒng)保護(hù)機(jī)制所不能的問(wèn)題。

2、網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)的不斷復(fù)雜化和大型化，給入侵檢測(cè)領(lǐng)域帶來(lái)了許多新的挑戰(zhàn)和問(wèn)題，主要體現(xiàn)為：(1)系統(tǒng)的弱點(diǎn)或漏洞分散在網(wǎng)絡(luò)中各個(gè)主機(jī)上，這些漏洞可能被入侵者利用一起來(lái)攻擊網(wǎng)絡(luò)，而依靠唯一的為單機(jī)或小規(guī)模網(wǎng)絡(luò)環(huán)境設(shè)計(jì)的傳統(tǒng)的IDS難于勝任檢測(cè)任務(wù)。(2)互聯(lián)網(wǎng)的蠕蟲事件和分布式拒絕服務(wù)攻擊充分表明攻擊行為正加速朝分布式發(fā)展，入侵行為不再是單一的行動(dòng)，而表現(xiàn)為彼此協(xié)作入侵的特征。(3)入侵檢測(cè)所依靠的數(shù)據(jù)來(lái)源分散化，收集原始檢測(cè)數(shù)據(jù)變得困難。(

3、4)網(wǎng)絡(luò)速度傳輸加快，網(wǎng)絡(luò)的流量也越來(lái)越大，集中處理原始數(shù)據(jù)的方式往往造成檢測(cè)瓶頸，導(dǎo)致漏報(bào)。這些都促進(jìn)了學(xué)者對(duì)入侵檢測(cè)中攻擊告警信息關(guān)聯(lián)技術(shù)的積極研究。本論文從全局視點(diǎn)出發(fā)，首先對(duì)入侵檢測(cè)技術(shù)進(jìn)行能夠了較全面的分類，并介紹了其原理及應(yīng)用，再深入地對(duì)告警信息的關(guān)聯(lián)技術(shù)進(jìn)行分析研究和比較，利用各攻擊的前提與結(jié)果間隱含的因果關(guān)系，提出了間接發(fā)起和發(fā)起約束條件的概念，探討了警報(bào)間遺漏攻擊的分析發(fā)現(xiàn)的方法。在此基礎(chǔ)上提出了一種重構(gòu)攻擊場(chǎng)景的方法