場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析論文

　　1相關(guān)工作

　　通過異常數(shù)據(jù)的分析可以將入侵者的攻擊流程直觀的展示給人們。異常數(shù)據(jù)分析技術(shù)主要包括場(chǎng)景重構(gòu)和報(bào)警融合。場(chǎng)景重構(gòu)解決了傳統(tǒng)入侵檢測(cè)中存在著較高誤報(bào)率和漏報(bào)率的問題，報(bào)警融合將大量的低級(jí)報(bào)警進(jìn)行融合，確保攻擊場(chǎng)景的完整性。Han等設(shè)計(jì)了基于關(guān)聯(lián)規(guī)則的入侵檢測(cè)算法，通過對(duì)頻繁子集的挖掘，成功檢測(cè)出了已知攻擊的變種。趙寧等人提出了基于流程化攻擊場(chǎng)景重構(gòu)技術(shù)，采用不同的關(guān)聯(lián)模型對(duì)來源不同的報(bào)警進(jìn)行關(guān)聯(lián)，重構(gòu)入侵者的入侵場(chǎng)景。Daisuke提出了一種基于日志分析方法，通過對(duì)計(jì)算機(jī)網(wǎng)絡(luò)日志進(jìn)行分析，構(gòu)建攻擊者的攻擊場(chǎng)景。H.Achi把計(jì)算機(jī)網(wǎng)絡(luò)安全的一些技術(shù)應(yīng)用到入侵檢測(cè)，得出攻擊者的網(wǎng)絡(luò)攻擊流程。

　　2異常數(shù)據(jù)分析方法

　　本文提出的基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析方法，其主要思路是：首先去除攻擊失敗的報(bào)警；然后反向關(guān)聯(lián)，減少場(chǎng)景重構(gòu)中一些不必要的數(shù)據(jù)；最后對(duì)一些孤立報(bào)警進(jìn)行必要的補(bǔ)充，來保證場(chǎng)景圖的完整性。對(duì)報(bào)警進(jìn)行精簡(jiǎn)與合并，此項(xiàng)工作主要由以下兩個(gè)步驟完成：對(duì)具有重復(fù)關(guān)系的報(bào)警進(jìn)行合并；刪除攻擊失敗的報(bào)警。通過尋找各個(gè)攻擊步驟之間存在的因果關(guān)系，將那些大量的、離散的報(bào)警合并成同一攻擊的不同攻擊階段。本文所使用的算法是在文章的基礎(chǔ)上添加了時(shí)間約束條件，即兩條報(bào)警能進(jìn)行關(guān)聯(lián)的前提是這兩條報(bào)警的時(shí)間差在一定范圍之內(nèi)。對(duì)于某一個(gè)入侵場(chǎng)景，首先找到該場(chǎng)景中報(bào)警類型級(jí)別比較高且時(shí)間靠后的五條報(bào)警，就從這些報(bào)警開始向前補(bǔ)充，將這些報(bào)警補(bǔ)充完后，判斷此場(chǎng)景是否完整，若該場(chǎng)景圖還存在遺漏，需要再進(jìn)行一次遺漏報(bào)警的補(bǔ)充，直至場(chǎng)景圖相對(duì)最完整。

　　3實(shí)驗(yàn)結(jié)果及分析

　　上一節(jié)介紹了基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析方法的具體流程，在本小節(jié)中，主要是將此方法得到的實(shí)驗(yàn)結(jié)果進(jìn)行分析，驗(yàn)證本文所提出方法的必要性與可行性。1）報(bào)警融合步驟的必要性報(bào)警融合的主要目的是去除原始報(bào)警中冗余的報(bào)警，通過多次的實(shí)驗(yàn)，結(jié)果表明了在對(duì)報(bào)警信息進(jìn)行關(guān)聯(lián)分析時(shí)，必須要采取報(bào)警融合技術(shù)。2）基于異常數(shù)據(jù)進(jìn)行入侵檢測(cè)的可行性通過上面的實(shí)驗(yàn)，可以看出，通過報(bào)警融合確實(shí)減少了報(bào)警數(shù)量，但去掉的這些報(bào)警是否會(huì)影響場(chǎng)景圖的完整性，下面對(duì)其進(jìn)行分析。通過上圖可以很清晰的看出攻擊者的主要攻擊步驟，即首先通過主機(jī)進(jìn)行端口掃描，然后通過asp注入，添加超級(jí)用戶，然后通過該用戶對(duì)該網(wǎng)站進(jìn)行操作管理，最后入侵網(wǎng)站成功。實(shí)際檢測(cè)出的攻擊場(chǎng)景圖由圖中虛線表示，即成功關(guān)聯(lián)出了具有關(guān)聯(lián)關(guān)系的報(bào)警信息，進(jìn)行MSSQL注入時(shí)，會(huì)通過pangolin在主機(jī)增加一個(gè)用戶，然后將此用戶加入到管理員分組，提升此用戶的權(quán)限，通過本文設(shè)計(jì)的系統(tǒng)進(jìn)行關(guān)聯(lián)時(shí)，將此步驟關(guān)聯(lián)出來了。由此可以看出，本文的方法很大程度上避免了漏報(bào)，證明了該方法在可行性方面是沒問題的。

　　4結(jié)論

　　在攻擊場(chǎng)景重構(gòu)中，報(bào)警融合能有效的抽象出不同主機(jī)的行為，場(chǎng)景重構(gòu)對(duì)每臺(tái)主機(jī)可以實(shí)現(xiàn)攻擊場(chǎng)景的重現(xiàn)。本文把這兩者結(jié)合起來，提出了基于場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析技術(shù)，先進(jìn)行場(chǎng)景重構(gòu)再進(jìn)行報(bào)警融合，既保證了攻擊場(chǎng)景圖的全面性又保證了準(zhǔn)確性，有利于從宏觀上了解攻擊者的攻擊動(dòng)機(jī)和過程。在下一步工作中，將對(duì)提出的算法進(jìn)行進(jìn)一步的優(yōu)化，并對(duì)入侵知識(shí)庫進(jìn)行完善。

【場(chǎng)景重構(gòu)和報(bào)警融合的異常數(shù)據(jù)分析論文】相關(guān)文章：

沖擊波異常數(shù)據(jù)的分析04-28

遙感影像數(shù)據(jù)融合方法的比較和分析-以開封地區(qū)SPOT影像數(shù)據(jù)為例04-29

使用MODIS和MOPITT衛(wèi)星數(shù)據(jù)監(jiān)測(cè)震前異常04-29

多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)05-02

多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)04-30

多波束測(cè)深的異常數(shù)據(jù)編輯技術(shù)和實(shí)現(xiàn)04-27

異常數(shù)據(jù)的檢測(cè)方法05-01

祛魅與重構(gòu) 論文05-01

癲癇EEG信號(hào)相空間重構(gòu)參數(shù)的計(jì)算和分析04-27

汽車車模覆蓋件逆向工程中數(shù)據(jù)重構(gòu)和優(yōu)化04-30