基于STATL的入侵场景构造研究-计算机应用技术专业论文.docxVIP

1··ι 4·l』1lttlh ?.kr ? . 摘 摘 要 随着网络时代的来临，人们在享受网络带来方便快捷的同时，也日益遭受到 来自于网络的入侵攻击行为。如何保证传输的信息安全?如何及时的发现恶意的 入侵行为?面对攻击手段的连续性、多样性和不可预测性，单纯的防火墙技术、 漏洞及补丁等网络防御技术不能完全满足人们的需要，人们迫切需要能完整勾画 出攻击者入侵过程和展示攻击意图的方法。 STATL是一种基于状态和迁移的攻击描述语言，将攻击描述为状态和变迁 的集合，入侵的过程便是使系统从安全的初始状态逐步过渡至受损害的入侵状 态。但STATL定义所有场景都是独立的，在攻击描述中，只是描述系统的不同 状态特征以及不同状态的转换，而不描述攻击过程。当入侵者采用多种攻击方式 和多个攻击步骤，每一个场景只描述一种类似的低层次攻击行为，其真正的攻击 过程会隐藏在许多低层次的入侵报警之中。本文提出用关联分析不同场景实例， 达到从更高层次寻找攻击行为关系、构建完整入侵场景的方法。 首先介绍和研究了与STAT相关的一些入侵检测内容，如网络安全研究现状、 ◆ 入侵检测技术和STATL技术等，通过对各个技术分支的研究和比较，阐明该研 究对入侵场景构建方面的重要意义。 随后抽象描述场景实例属性和建立属性库，定义必需的处理实例属性函数， 在保留原S汀L场景独立性的同时，增加超场景来关联场景。最后改进了一些 STATL语言的主要文法，并提出了处理多个场景实例的关联算法。在关联方法 的选择上，采用最常用的基于报警属性相似度的方法。 最后通过实验测试DARPA2000攻击数据集来验证了构建入侵场景的可行 性。 关键字：入侵检测；关联；STATL；入侵场景；超场景 ● ? ? ? attacks attacks ills the Set of states and transitiOils．The intrusion process iS from the initial safe state to the compromised state of system step by step．But STATL defines all the scenarios are independent．So in the attack decription,it just describes the different states’features of system and transitions in them，not the attack process．When the attacker use several attacks contained a lot of successive steps，each defined scenario can only describe a similar l(ind of low-level attacks．then the real attack process will hide in the mass low-level intrusion alerts．In this paper,I propose the correlative analyzing of the different scenarios’instances to find out the relation between attacks and construct the integral intrusion scenario in the high level． Firstly introduce and discuss the intrusion dectection contents related to STATL， just as the research status ofnetwork secrity、intrusion detection、and STAT．By means of comparing the branches of various technologies，we can explain this research is significant for constrcting the intrusion scenario． Then describe the attributesof the scenario’S instance abstractly,construct the attribute library and define the necessary functions deal、析t11 the attributes．At the same time of keeping the independe