基于時序邏輯的網(wǎng)絡(luò)攻擊建模研究.pdf

1、隨著網(wǎng)絡(luò)攻擊種類越來越多樣化、攻擊手段越來越復(fù)雜，入侵檢測技術(shù)日益受到重視。入侵檢測是一種重要的網(wǎng)絡(luò)安全技術(shù)，根據(jù)檢測原理不同，該技術(shù)可被劃分為誤用檢測和異常檢測。由于異常檢測的誤報率較高，因此國際上已部署的入侵檢測系統(tǒng)大多采用的是誤用檢測的方法。然而，面對網(wǎng)絡(luò)中大量存在的日益復(fù)雜變化的攻擊模式，基于模式匹配的入侵檢測技術(shù)的檢測能力嚴(yán)重不足。為此，基于模型檢測的入侵檢測技術(shù)被法國學(xué)者提出。
　　與基于模式匹配的入侵檢測(Intru

2、sionDetection)相比，基于模型檢測的入侵檢測方法可有效提升對復(fù)雜變化攻擊的檢測能力。然而，對當(dāng)前的基于模型檢測的入侵檢測方法而言，仍存在若干問題有待解決。首先，目前的方法均為針對特定的某一種或某幾種來建模，仍然缺乏針對網(wǎng)絡(luò)攻擊的一般過程建模的模型。其次，缺乏一種平臺可以為此類方法的性能比較提供依據(jù)。本文正是基于這兩個問題開展研究，所完成的主要工作如下:
　　1.在定義網(wǎng)絡(luò)攻擊的通用過程和網(wǎng)絡(luò)攻擊模型公式的基礎(chǔ)上，本文提

3、出了基于區(qū)間時序邏輯的網(wǎng)絡(luò)攻擊的通用模型。該通用模型可涵蓋網(wǎng)絡(luò)攻擊的一般過程。在新模型的基礎(chǔ)之上實(shí)施入侵檢測有助于把基于模型檢測的入侵檢測技術(shù)推廣到多類型攻擊檢測。
　　2.在研究了KDDCUP99的四大類攻擊的攻擊原理的基礎(chǔ)上，針對KDDCUP99的訓(xùn)練集中13種攻擊類型，將其具體攻擊細(xì)節(jié)轉(zhuǎn)化動作序列，并且將動作序列分解為日志文件中的原子動作行為，給出了每種攻擊的時序邏輯公式，構(gòu)建了13種攻擊類型的攻擊模型公式，為同類入侵檢測方