本文關鍵詞：基于攻擊圖的網(wǎng)絡報警關聯(lián)及度量選擇技術研究

  更多相關文章： 入侵檢測系統(tǒng) 攻擊圖 主成分分析 報警關聯(lián) 措施選擇

【摘要】：隨著網(wǎng)絡技術的不斷發(fā)展,網(wǎng)絡攻擊手段也不斷變得智能和復雜。層出不窮的網(wǎng)絡攻擊,對網(wǎng)絡安全造成了很大的威脅和破壞,如何保障計算機網(wǎng)絡的安全問題一直備受人們關注。入侵檢測系統(tǒng)是一種有效的網(wǎng)絡安全防御技術,它能夠發(fā)現(xiàn)網(wǎng)絡中的入侵行為,并以報警的方式對入侵行為作出響應,進而實時有效地保護網(wǎng)絡的安全。然而入侵檢測系統(tǒng)在實際應用中存在不少缺點,如報警數(shù)量多,報警信息離散等,使網(wǎng)絡管理員難以發(fā)現(xiàn)攻擊來源和攻擊目的,從而無法及時采取處理措施。為了解決以上問題,本文利用報警關聯(lián)技術挖掘出報警之間的關聯(lián)關系,發(fā)現(xiàn)攻擊場景,構建報警關聯(lián)圖,并對攻擊場景進行分析和為攻擊場景選擇處理措施。本文針對報警關聯(lián)技術和措施選擇進行了如下的研究:(1)提出了一種攻擊圖和報警相似度相結合的報警關聯(lián)方法。首先,根據(jù)入侵檢測消息交換格式的數(shù)據(jù)模型,將入侵檢測系統(tǒng)產(chǎn)生的報警數(shù)據(jù)進行格式統(tǒng)一。接著,研究了報警屬性相似度的計算方法,比如IP地址相似度的計算。然后,借鑒主成分分析法的思想,提出了一種屬性權重自動分配的報警相似度計算方法。最后,通過攻擊圖與報警相似度將相關報警關聯(lián)成一個有向圖,從而達到重放攻擊者利用網(wǎng)絡漏洞之間的關系攻破目標網(wǎng)絡的攻擊場景。(2)針對發(fā)現(xiàn)的攻擊場景,提出了基于投資回報的措施選擇方法。首先,引入了節(jié)點固有概率和累積概率的概念,并將節(jié)點累積概率作為評估攻擊節(jié)點風險的衡量指標。然后,結合通用漏洞評價系統(tǒng)給出了原子攻擊節(jié)點固有概率的計算方法,并將節(jié)點分為串聯(lián)和并聯(lián)兩種類型,分別對這兩種類型節(jié)點的累積概率的計算進行了闡述。最后,引入投資回報的概念,將為高風險節(jié)點尋找成本小、負面影響小、效益高的網(wǎng)絡漏洞修復措施問題轉化為尋找高投資回報的問題,簡化了問題的求解過程。本文利用編程語言實現(xiàn)上述研究工作并對其進行仿真實驗,在DARPA 2000數(shù)據(jù)集上的實驗結果表明,上述提出的報警關聯(lián)方法不僅能減少重復報警,較為準確地關聯(lián)相似報警,且能夠關聯(lián)前提報警缺失和在攻擊圖中找不到對應原子攻擊節(jié)點的報警,甚至能完全修復不相連的原子攻擊節(jié)點缺失個數(shù)少于3的攻擊圖。提出的措施選擇算法能夠為攻擊場景選擇成本、負面影響及效益綜合最優(yōu)的措施及措施實施位置。
【關鍵詞】：入侵檢測系統(tǒng) 攻擊圖 主成分分析 報警關聯(lián) 措施選擇
【學位授予單位】：江西理工大學
【學位級別】：碩士
【學位授予年份】：2016
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• Abstract5-10
• 第一章 緒論10-16
• 1.1 研究背景10-11
• 1.2 國內外研究現(xiàn)狀11-13
• 1.2.1 報警關聯(lián)11-13
• 1.2.2 措施選擇13
• 1.3 本文主要工作13-14
• 1.4 論文組織結構14-16
• 第二章 相關技術基礎理論16-23
• 2.1 入侵檢測技術16-19
• 2.1.1 入侵檢測的概念16-17
• 2.1.2 報警信息的特征17
• 2.1.3 入侵檢測系統(tǒng)架構17-18
• 2.1.4 入侵檢測實現(xiàn)原理18-19
• 2.2 主成分分析19-20
• 2.3 攻擊圖20-22
• 2.3.1 攻擊圖的概念20-21
• 2.3.2 攻擊圖生成方法21-22
• 2.4 本章小結22-23
• 第三章 報警關聯(lián)與措施選擇模型設計23-28
• 3.1 模型框架23-24
• 3.2 報警預處理模塊24-26
• 3.3 報警關聯(lián)模塊26-27
• 3.4 措施選擇模塊27
• 3.5 本章小結27-28
• 第四章 基于攻擊圖和相似度的報警關聯(lián)分析28-40
• 4.1 攻擊圖類型28-29
• 4.1.1 狀態(tài)攻擊圖28
• 4.1.2 屬性攻擊圖28-29
• 4.2 相關概念和定義29-31
• 4.3 相似度計算31-33
• 4.3.1 屬性相似度計算31-32
• 4.3.2 報警相似度的計算32-33
• 4.4 報警關聯(lián)方案33-39
• 4.4.1 關聯(lián)規(guī)則33-34
• 4.4.2 原子攻擊節(jié)點匹配34-35
• 4.4.3 前提報警搜索35-36
• 4.4.4 報警關聯(lián)算法描述36-38
• 4.4.5 算法時間復雜度分析38-39
• 4.5 本章小結39-40
• 第五章 基于攻擊場景的措施選擇方法40-49
• 5.1 引言40
• 5.2 相關基礎理論40-43
• 5.2.1 多目標優(yōu)化問題40-41
• 5.2.2 漏洞危害度量標準41-43
• 5.3 攻擊節(jié)點風險評估43-45
• 5.4 漏洞修復措施選擇45-47
• 5.5 本章小結47-49
• 第六章 實驗結果及分析49-57
• 6.1 引言49
• 6.2 實驗環(huán)境及數(shù)據(jù)集49-50
• 6.2.1 實驗環(huán)境49
• 6.2.2 DARPA 2000數(shù)據(jù)集49
• 6.2.3 攻擊圖的構建49-50
• 6.3 報警關聯(lián)實驗50-53
• 6.3.1 參數(shù)說明50
• 6.3.2 實驗過程及算法實現(xiàn)50-51
• 6.3.3 實驗分析51-53
• 6.4 措施選擇實驗53-56
• 6.4.1 措施集53
• 6.4.2 實驗分析53-56
• 6.5 本章小結56-57
• 第七章 總結與展望57-59
• 7.1 工作總結57-58
• 7.2 未來工作展望58-59
• 參考文獻59-62
• 致謝62-63
• 攻讀學位期間的研究成果63-64

【相似文獻】

中國期刊全文數(shù)據(jù)庫 前10條

1 喻建平,閆巧;入侵檢測系統(tǒng)的發(fā)展及其研究方向[J];信息安全與通信保密;2002年05期

2 王自亮,羅守山,楊義先;入侵檢測系統(tǒng)的測試與評估[J];中國數(shù)據(jù)通信;2002年11期

3 張杰 ,戴英俠;入侵檢測系統(tǒng)技術現(xiàn)狀及其發(fā)展趨勢[J];郵電設計技術;2002年06期

4 汪洋,龔儉;入侵檢測系統(tǒng)評估方法綜述[J];計算機工程與應用;2003年32期

5 羅光春,張駿,盧顯良,李炯;入侵檢測系統(tǒng)的歷史、現(xiàn)狀與研究進展[J];計算機應用研究;2003年08期

6 褚永剛 ,宋傳恒 ,楊義先 ,胡正名;入侵檢測系統(tǒng)攻擊語言研究[J];信息安全與通信保密;2003年04期

7 郭濤,李守鵬;入侵檢測系統(tǒng)的測評方法[J];信息網(wǎng)絡安全;2003年03期

8 詹浩;入侵檢測系統(tǒng)及其在銀行中的應用[J];中國金融電腦;2003年10期

9 周健祥,王興芬;一種基于多層次知識庫入侵檢測系統(tǒng)的設計[J];計算機應用;2003年S2期

10 劉海東;入侵檢測系統(tǒng)及其發(fā)展趨勢[J];廣東經(jīng)濟管理學院學報;2003年03期

中國重要會議論文全文數(shù)據(jù)庫 前10條

1 龔德忠;徐云峰;吳燕波;;基于模糊決策理論的入侵檢測系統(tǒng)可行性評估[A];第十九次全國計算機安全學術交流會論文集[C];2004年

2 梁萬龍;;入侵檢測系統(tǒng)及其在電力企業(yè)綜合信息網(wǎng)中的應用[A];廣東省電機工程學會2003-2004年度優(yōu)秀論文集[C];2005年

3 程三軍;;入侵檢測系統(tǒng)在應用中的若干問題與對策[A];第十八次全國計算機安全學術交流會論文集[C];2003年

4 陳金蘭;閆懷志;胡昌振;;躲避與攻擊入侵檢測系統(tǒng)的手段及防范[A];第十八次全國計算機安全學術交流會論文集[C];2003年

5 韓豐;;入侵檢測系統(tǒng)在冶金企業(yè)中的部署[A];第十九次全國計算機安全學術交流會論文集[C];2004年

6 雷琦;楊國偉;;基于無線局域網(wǎng)的入侵檢測系統(tǒng)的設計和實現(xiàn)[A];全國計算機安全學術交流會論文集（第二十二卷）[C];2007年

7 謝輝;王燕;龐濱;;數(shù)據(jù)挖掘在入侵檢測系統(tǒng)中的應用[A];第二十四屆中國數(shù)據(jù)庫學術會議論文集（技術報告篇）[C];2007年

8 陳觀林;王澤兵;馮雁;;入侵檢測系統(tǒng)中的規(guī)劃識別研究[A];第六屆全國計算機應用聯(lián)合學術會議論文集[C];2002年

9 劉冬梅;;協(xié)同防護入侵檢測系統(tǒng)[A];山東省計算機學會2005年信息技術與信息化研討會論文集（一）[C];2005年

10 陳曉煒;;入侵檢測系統(tǒng)分類法研究[A];2005通信理論與技術新進展——第十屆全國青年通信學術會議論文集[C];2005年

中國重要報紙全文數(shù)據(jù)庫 前10條

1 離子翼;入侵檢測系統(tǒng)抵擋惡意攻擊[N];中國電腦教育報;2005年

2 本報特約張昕楠;中小企業(yè)入侵檢測系統(tǒng)選中小企業(yè)入侵檢測系統(tǒng)選型[N];中國電腦教育報;2005年

3 陳長松;需要入侵檢測系統(tǒng)的五個理由[N];中國計算機報;2002年

4 北京長信泰康通信技術有限公司 宮鍵欣;入侵檢測系統(tǒng)與入侵防御系統(tǒng)的區(qū)別[N];人民郵電;2008年

5 ;入侵檢測系統(tǒng)面臨的三大挑戰(zhàn)[N];中國計算機報;2002年

6 何軍、高國棟、程文靜;國內9款入侵檢測產(chǎn)品同臺亮相[N];中國計算機報;2002年

7 譚崇暢;IDS值得投資嗎[N];中國計算機報;2005年

8 趙毅;如何選擇入侵檢測設備[N];中國計算機報;2007年

9 譚崇暢;捍衛(wèi)“最后一道防線”[N];網(wǎng)絡世界;2002年

10 賽迪評測網(wǎng)絡安全實驗室 何軍;誰給你更好的保護[N];中國計算機報;2004年

中國博士學位論文全文數(shù)據(jù)庫 前10條

1 宋世杰;基于序列模式挖掘的誤用入侵檢測系統(tǒng)及其關鍵技術研究[D];國防科學技術大學;2005年

2 李玲娟;數(shù)據(jù)挖掘技術在入侵檢測系統(tǒng)中的應用研究[D];蘇州大學;2008年

3 金舒;入侵檢測系統(tǒng)性能提高新技術研究[D];南京理工大學;2006年

4 鄧琦皓;分布式主動協(xié)同入侵檢測系統(tǒng)研究與實踐[D];中國人民解放軍信息工程大學;2005年

5 關健;入侵檢測系統(tǒng)數(shù)據(jù)分析方法及其相關技術的研究[D];哈爾濱工程大學;2004年

6 李玉萍;基于先進計算的智能入侵檢測系統(tǒng)研究[D];中國地震局地球物理研究所;2012年

7 劉剛;基于免疫遺傳算法的入侵檢測系統(tǒng)研究[D];鐵道部科學研究院;2006年

8 閆巧;基于免疫機理的入侵檢測系統(tǒng)研究[D];西安電子科技大學;2003年

9 傅濤;基于數(shù)據(jù)挖掘的分布式網(wǎng)絡入侵協(xié)同檢測系統(tǒng)研究及實現(xiàn)[D];南京理工大學;2008年

10 劉美蘭;網(wǎng)絡安全監(jiān)測預警技術研究[D];中國人民解放軍信息工程大學;2002年

中國碩士學位論文全文數(shù)據(jù)庫 前10條

1 劉濤;入侵檢測系統(tǒng)的評估方法與研究[D];河北大學;2008年

2 王春艷;基于成本的入侵檢測系統(tǒng)評估分析方法研究[D];湖南大學;2007年

3 鄒勉;基于數(shù)據(jù)挖掘的混合型入侵檢測研究[D];南京信息工程大學;2015年

4 孫明鳴;基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[D];中央民族大學;2015年

5 趙原;基于異常分析的入侵檢測系統(tǒng)的設計與實現(xiàn)[D];哈爾濱工業(yè)大學;2015年

6 高波;數(shù)據(jù)挖掘在入侵檢測中的應用研究[D];西南科技大學;2015年

7 陳大鵬;基于用戶行為分析與識別的數(shù)據(jù)庫入侵檢測系統(tǒng)的研究[D];電子科技大學;2015年

8 盧帆;無線傳感器網(wǎng)絡路由協(xié)議與入侵檢測系統(tǒng)的設計與研究[D];新疆大學;2015年

9 袁騰飛;基于數(shù)據(jù)挖掘的入侵檢測系統(tǒng)研究[D];電子科技大學;2014年

10 劉s;網(wǎng)絡入侵檢測關鍵技術研究與應用開發(fā)[D];電子科技大學;2013年

，

本文編號：759622