基于模糊聚類(lèi)和因果關(guān)聯(lián)的攻擊場(chǎng)景構(gòu)造方法的研究與實(shí)現(xiàn).pdf

1、眾所周知，網(wǎng)絡(luò)攻擊者在實(shí)施攻擊時(shí)往往采用多種手段或多個(gè)步驟才能達(dá)到其目的。傳統(tǒng)的入侵檢測(cè)系統(tǒng)（Intrusion Detection System，IDS）等多種安全設(shè)備只能產(chǎn)生大量孤立的低層報(bào)警事件，這些事件之間很可能存在某種聯(lián)系，而這些聯(lián)系靠對(duì)孤立報(bào)警的分析是無(wú)法獲取的，并且這些低層的報(bào)警數(shù)目眾多，其中含有很多重復(fù)或錯(cuò)誤的報(bào)警。針對(duì)這些問(wèn)題，本文利用模糊聚類(lèi)和因果關(guān)聯(lián)等多種技術(shù)來(lái)分析源自多個(gè)安全設(shè)備的報(bào)警信息，去除冗余和誤報(bào)，挖掘這

2、些報(bào)警之間的內(nèi)在聯(lián)系，構(gòu)造完整的攻擊場(chǎng)景。這種攻擊場(chǎng)景描述了不同報(bào)警事件之間的關(guān)系，能夠幫助網(wǎng)絡(luò)安全管理員更清晰和快速地發(fā)現(xiàn)網(wǎng)絡(luò)攻擊之間的本質(zhì)聯(lián)系以及攻擊者的最終目的。 本文首先介紹了構(gòu)造攻擊場(chǎng)景的原因和必要性，并分析了當(dāng)前主要的攻擊場(chǎng)景構(gòu)造方法的優(yōu)缺點(diǎn)。然后提出了一種新的構(gòu)造攻擊場(chǎng)景的方法，這種方法主要包括五個(gè)模塊：報(bào)警融合、報(bào)警聚類(lèi)、聚類(lèi)參數(shù)優(yōu)化、報(bào)警關(guān)聯(lián)、攻擊場(chǎng)景重構(gòu)。報(bào)警融合模塊是用來(lái)對(duì)采集到的原始報(bào)警進(jìn)行冗余處理，以刪

3、除其中重復(fù)的報(bào)警；報(bào)警聚類(lèi)模塊采用的是基于報(bào)警屬性相似度的模糊聚類(lèi)算法，其中所使用的聚類(lèi)參數(shù)采用改進(jìn)后的量子粒子群優(yōu)化技術(shù)進(jìn)行自適應(yīng)優(yōu)化，這種聚類(lèi)算法主要是對(duì)冗余處理后的報(bào)警集進(jìn)行合理分類(lèi)，這種分類(lèi)不僅可以為后續(xù)模塊提供必要的場(chǎng)景參考，而且可以發(fā)現(xiàn)和刪除很多真正孤立或錯(cuò)誤的報(bào)警，減少不必要的關(guān)聯(lián)；報(bào)警關(guān)聯(lián)采用的是基于謂詞的因果關(guān)聯(lián)方法，這種方法可以挖掘大量低層報(bào)警中的內(nèi)在邏輯關(guān)系，形成高層的攻擊場(chǎng)景圖；對(duì)于因IDS漏報(bào)或攻擊知識(shí)庫(kù)不完善