syn洪范攻击供参考学习.docVIP

基于状态机的入侵场景重构关键技术研究 发布: | 作者: | 来源: zhoumingdu | 查看:449次 | 用户关注： 摘 要： 分析了现有的各种安全事件关联算法，提出了一种基于状态机的攻击场景重构技术。基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理，为每一种可能发生的攻击场景构建一个状态机，利用状态机来跟踪、记录攻击活动的发展过程，以此来提高关联过程的实时性和准确性。最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证。关键词： 入侵场景重构；聚类分析；因果分析；攻击场景树 摘? 要： 分析了现有的各种安全事件关联算法，提出了一种基于状态机的攻击场景重构技术。基于状态机的攻击场景重构技术将聚类分析和因果分析统一起来对安全事件进行关联处理，为每一种可能发生的攻击场景构建一个状态机，利用状态机来跟踪、记录攻击活动的发展过程，以此来提高关联过程的实时性和准确性。最后通过DARPA2000入侵场景测试数据集对所提出的技术进行了分析验证。关键词： 入侵场景重构；聚类分析；因果分析；攻击场景树；关联状态机 ??? 随着计算机网络的普及和各种网络应用的不断深入，网络空间的安全问题变得越来越突出，已经成为制约网络发展的主要因素之一[1]。对于一个复杂的大规模网络而言，一个简单的攻击指令就会触发IDS等安全设备产生数百乃至上千的安全事件，依靠管理员人工分析这些事件无疑是一种灾难。如何从这些零散、庞杂的安全事件中提取出高层警报，重构出入侵场景已经成为当务之急。入侵场景重构技术就是通过对IDS等安全设备产生的原始安全事件进行关联、分析，还原出攻击者对整个网络空间的攻击、渗透过程，然后将这种高层的场景信息反映给管理员，将其从繁重的事件分析任务中解放出来。??? 本文通过分析现有的一些关于安全事件关联分析的研究成果，提出了一种基于状态机的入侵场景重构技术，给出了对应的关联算法以及相关的一些重要概念，最后通过一个原型系统对所提出的重构技术进行了分析、验证。1 相关工作??? 攻击活动触发的安全事件之间存在两种关系，一种是并行的冗余关系，另一种是串行的时序因果关系，入侵场景重构的主要内容就是分析各个安全事件之间的这两种关系。??? 当前对冗余事件的研究主要集中在基于概率的统计分析方面：ALFONSO V[2]首次提出了基于概率聚类技术的安全事件关联分析方法，随后DEBAR H[3]，DAIN O[4-5]等也对其进行了研究。基于概率聚类的安全事件关联分析技术通过计算各个安全事件的概率相似度，进而决定新产生的安全事件的聚类归属。通常属于同个聚类的安全事件具有相似的属性，通过选择一个抽象的“元告警”作为该聚类的代表元，以此来达到去冗的效果。??? 对串行事件的处理主要集中在基于规则的关联分析方面。STEVEN C[6]等提出了一种基于专家系统的攻击场景识别技术，其主要思想是将攻击场景描述为一系列的规则模块，每个规则模块代表着一个攻击场景，安全事件报上来之后和规则模块进行匹配。BENJAMIN M和HERVE D提出了一种基于时序模式识别的攻击场景识别技术[7]，将网络安全事件按照预定义的时序模型进行关联。在基于规则的安全事件关联分析方面，具有里程碑意义的无疑是PENG Ning所领导的TIAA项目[8]和ONERA的FREDERIC C所领导的MIRADOR项目[9]。??? 现有的安全事件关联分析技术主要存在以下两个问题：(1)对安全事件的处理要么是进行概率聚类，要么是基于因果规则进行关联分析，很少有研究将两者结合起来处理安全事件。有结合起来的也是人为地将两者割裂，先聚类去冗，然后因果分析，这样做的合理性有待考究。(2)关联分析的实时性差。尤其表现在基于规则的关联分析方面，比如TIAA项目，其通常是设定一个时间片，一段时间之后去读取数据库中的安全事件，然后对其进行计算分析。其实质是一个离线系统，而且如果时间片内某一规则的安全事件有遗漏的话，其分析效果会大大降低。2 基于状态机的入侵场景重构技术??? 基于状态机的入侵场景重构技术将聚类分析和因果分析统一起来，用于对安全事件进行处理，还原出攻击者的入侵过程。同时基于状态机的安全事件关联分析是一个在线实时的处理过程，这种工作方式可以极大地提高关联过程的时效性。??? 图1为入侵场景重构系统的结构图。整个系统的工作流程如下：首先需要根据专家知识以及参考范例等构建一个静态的入侵场景库，入侵场景库中包含了各种各样的攻击场景，每一个攻击场景都是一个树状结构，用于匹配产生的安全事件。有了入侵场景库之后，预处理模块将各个安全设备产生的事件标准化后提交给关联引擎，关联引擎按照LRU(最近最少使用)[10]策略在内存中维护着一个状态机队列，队列中的