【摘要】：蜜網(wǎng)在短時間內(nèi)會產(chǎn)生大量原始告警,產(chǎn)生的原始告警中包含大量誤報、漏報和冗余告警,而且原始告警語義級別低,告警間相互獨立,不能提供給用戶直觀有效的信息。如何對蜜網(wǎng)內(nèi)捕獲到的數(shù)據(jù)進行分析,分析出攻擊者攻擊行為是蜜網(wǎng)技術(shù)研究中的難點之一。 攻擊圖不僅能識別相應(yīng)特定目標(biāo)網(wǎng)絡(luò)中的脆弱性,而且能識別脆弱性之間的關(guān)聯(lián)關(guān)系,從攻擊者的角度以圖形化的形式模擬一個系統(tǒng)可能受到的所有攻擊路徑,能夠有效彌補傳統(tǒng)告警分析中的不足,適用于描述多步驟的網(wǎng)絡(luò)攻擊。 1)本文研究了攻擊圖技術(shù),提出將攻擊圖應(yīng)用于蜜網(wǎng)攻擊行為分析研究,彌補傳統(tǒng)告警分析沒有結(jié)合具體網(wǎng)絡(luò)環(huán)境的不足。 2)本文研究了聚類分析算法,對算法進行改進,將其應(yīng)用于告警關(guān)聯(lián)分析,對告警進行劃分。 3)本文研究了攻擊圖編碼序列生成方法,提出了基于AG DFS編碼的攻擊圖序列生成方法。該方法改進了基于無向圖的DFS編碼,使其適用于有向的攻擊圖。 在以上研究的基礎(chǔ)上,本文提出了基于蜜網(wǎng)的攻擊行為分析模型。該模型分為兩個階段,在離線攻擊圖編碼序列生成階段,通過建立攻擊圖知識庫,對已知攻擊圖進行編碼,為告警的關(guān)聯(lián)分析做準(zhǔn)備。在線告警關(guān)聯(lián)階段,對告警進行預(yù)處理等細化操作,結(jié)合網(wǎng)絡(luò)信息和拓撲信息進行攻擊圖編碼序列的告警深度關(guān)聯(lián)。 本文設(shè)計并實現(xiàn)了基于攻擊圖的攻擊行為分析系統(tǒng),并搭建了蜜網(wǎng)實驗環(huán)境,實驗結(jié)果顯示該系統(tǒng)能有效的捕獲告警信息并對告警進行基于攻擊場景的關(guān)聯(lián)分析,驗證了系統(tǒng)的可行性。
文內(nèi)圖片：
圖片說明： .1攻擊圖技術(shù)攻T丨丨閣技術(shù)足一種站干模型的分析研究技術(shù)，"J■用于研究網(wǎng)絡(luò)的脆弱性分閣可以抽象的表示為一個…多個節(jié)點}D成，各個節(jié)點按照一 的連接規(guī)則而成的有向閣，其能隱性地展示攻m者利)IU丨標(biāo)網(wǎng)絡(luò)中存在的脆弱性等信H標(biāo)網(wǎng)絡(luò)進行攻1丨丨的全部可能的攻擊行為及其過程111]0,研究人員對閣技術(shù)的研究重點在十丨彳標(biāo)模型構(gòu)建研究、攻lU閣構(gòu)建研究和攻ijf閣分析研暠2-1所示。
文內(nèi)圖片：
圖片說明： 圖2-2狀態(tài)攻擊圖在丨到2-2巾，悔-個橢圓表示一個節(jié)點，虛線橢圓表示初始狀態(tài)）y點，實線橢\∫詌a /?攻1丨丨的名稱來命名，jij于表示說子攻：山-攻ii?成功iTi?的企W狀態(tài)。在攻lit閣的數(shù)掘結(jié)構(gòu)十，狀態(tài)攻iU暎足一種十分Yj■效的農(nóng)現(xiàn)形式，，它以沾式的方式展
【學(xué)位授予單位】：北京郵電大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2015
【分類號】：TP393.08

【參考文獻】

相關(guān)期刊論文 前3條

1 陳鋒;毛捍東;張維明;雷長海;;攻擊圖技術(shù)研究進展[J];計算機科學(xué);2011年11期

2 宋美娜;金遠平;;一個基于DFS編碼的圖形匹配算法[J];計算機與數(shù)字工程;2009年09期

3 孫吉貴;劉杰;趙連宇;;聚類算法研究[J];軟件學(xué)報;2008年01期

相關(guān)博士學(xué)位論文 前1條

1 陳鋒;基于多目標(biāo)攻擊圖的層次化網(wǎng)絡(luò)安全風(fēng)險評估方法研究[D];國防科學(xué)技術(shù)大學(xué);2009年

本文編號：2514976