- 相關(guān)推薦
場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析論文
1相關(guān)工作
通過異常數(shù)據(jù)的分析可以將入侵者的攻擊流程直觀的展示給人們。異常數(shù)據(jù)分析技術(shù)主要包括場(chǎng)景重構(gòu)和報(bào)警融合。場(chǎng)景重構(gòu)解決了傳統(tǒng)入侵檢測(cè)中存在著較高誤報(bào)率和漏報(bào)率的問題,報(bào)警融合將大量的低級(jí)報(bào)警進(jìn)行融合,確保攻擊場(chǎng)景的完整性。Han等設(shè)計(jì)了基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)算法,通過對(duì)頻繁子集的挖掘,成功檢測(cè)出了已知攻擊的變種。趙寧等人提出了基于流程化攻擊場(chǎng)景重構(gòu)技術(shù),采用不同的關(guān)聯(lián)模型對(duì)來源不同的報(bào)警進(jìn)行關(guān)聯(lián),重構(gòu)入侵者的入侵場(chǎng)景。Daisuke提出了一種基于日志分析方法,通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)日志進(jìn)行分析,構(gòu)建攻擊者的攻擊場(chǎng)景。H.Achi把計(jì)算機(jī)網(wǎng)絡(luò)安全的一些技術(shù)應(yīng)用到入侵檢測(cè),得出攻擊者的網(wǎng)絡(luò)攻擊流程。
2異常數(shù)據(jù)分析方法
本文提出的基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析方法,其主要思路是:首先去除攻擊失敗的報(bào)警;然后反向關(guān)聯(lián),減少場(chǎng)景重構(gòu)中一些不必要的數(shù)據(jù);最后對(duì)一些孤立報(bào)警進(jìn)行必要的補(bǔ)充,來保證場(chǎng)景圖的完整性。對(duì)報(bào)警進(jìn)行精簡(jiǎn)與合并,此項(xiàng)工作主要由以下兩個(gè)步驟完成:對(duì)具有重復(fù)關(guān)系的報(bào)警進(jìn)行合并;刪除攻擊失敗的報(bào)警。通過尋找各個(gè)攻擊步驟之間存在的因果關(guān)系,將那些大量的、離散的報(bào)警合并成同一攻擊的不同攻擊階段。本文所使用的算法是在文章的基礎(chǔ)上添加了時(shí)間約束條件,即兩條報(bào)警能進(jìn)行關(guān)聯(lián)的前提是這兩條報(bào)警的時(shí)間差在一定范圍之內(nèi)。對(duì)于某一個(gè)入侵場(chǎng)景,首先找到該場(chǎng)景中報(bào)警類型級(jí)別比較高且時(shí)間靠后的五條報(bào)警,就從這些報(bào)警開始向前補(bǔ)充,將這些報(bào)警補(bǔ)充完后,判斷此場(chǎng)景是否完整,若該場(chǎng)景圖還存在遺漏,需要再進(jìn)行一次遺漏報(bào)警的補(bǔ)充,直至場(chǎng)景圖相對(duì)最完整。
3實(shí)驗(yàn)結(jié)果及分析
上一節(jié)介紹了基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析方法的具體流程,在本小節(jié)中,主要是將此方法得到的實(shí)驗(yàn)結(jié)果進(jìn)行分析,驗(yàn)證本文所提出方法的必要性與可行性。1)報(bào)警融合步驟的必要性報(bào)警融合的主要目的是去除原始報(bào)警中冗余的報(bào)警,通過多次的實(shí)驗(yàn),結(jié)果表明了在對(duì)報(bào)警信息進(jìn)行關(guān)聯(lián)分析時(shí),必須要采取報(bào)警融合技術(shù)。2)基于異常數(shù)據(jù)進(jìn)行入侵檢測(cè)的可行性通過上面的實(shí)驗(yàn),可以看出,通過報(bào)警融合確實(shí)減少了報(bào)警數(shù)量,但去掉的這些報(bào)警是否會(huì)影響場(chǎng)景圖的完整性,下面對(duì)其進(jìn)行分析。通過上圖可以很清晰的看出攻擊者的主要攻擊步驟,即首先通過主機(jī)進(jìn)行端口掃描,然后通過asp注入,添加超級(jí)用戶,然后通過該用戶對(duì)該網(wǎng)站進(jìn)行操作管理,最后入侵網(wǎng)站成功。實(shí)際檢測(cè)出的攻擊場(chǎng)景圖由圖中虛線表示,即成功關(guān)聯(lián)出了具有關(guān)聯(lián)關(guān)系的報(bào)警信息,進(jìn)行MSSQL注入時(shí),會(huì)通過pangolin在主機(jī)增加一個(gè)用戶,然后將此用戶加入到管理員分組,提升此用戶的權(quán)限,通過本文設(shè)計(jì)的系統(tǒng)進(jìn)行關(guān)聯(lián)時(shí),將此步驟關(guān)聯(lián)出來了。由此可以看出,本文的方法很大程度上避免了漏報(bào),證明了該方法在可行性方面是沒問題的。
4結(jié)論
在攻擊場(chǎng)景重構(gòu)中,報(bào)警融合能有效的抽象出不同主機(jī)的行為,場(chǎng)景重構(gòu)對(duì)每臺(tái)主機(jī)可以實(shí)現(xiàn)攻擊場(chǎng)景的重現(xiàn)。本文把這兩者結(jié)合起來,提出了基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析技術(shù),先進(jìn)行場(chǎng)景重構(gòu)再進(jìn)行報(bào)警融合,既保證了攻擊場(chǎng)景圖的全面性又保證了準(zhǔn)確性,有利于從宏觀上了解攻擊者的攻擊動(dòng)機(jī)和過程。在下一步工作中,將對(duì)提出的算法進(jìn)行進(jìn)一步的優(yōu)化,并對(duì)入侵知識(shí)庫進(jìn)行完善。
【場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析論文】相關(guān)文章:
沖擊波異常數(shù)據(jù)的分析04-28
遙感影像數(shù)據(jù)融合方法的比較和分析-以開封地區(qū)SPOT影像數(shù)據(jù)為例04-29
使用MODIS和MOPITT衛(wèi)星數(shù)據(jù)監(jiān)測(cè)震前異常04-29
多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)05-02
多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)04-30
多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)04-27
祛魅與重構(gòu) 論文05-01