基于序列模式和PN機(jī)的場(chǎng)景入侵檢測(cè)研究與設(shè)計(jì).pdf

1、信息化的快速發(fā)展帶來(lái)諸多網(wǎng)絡(luò)安全威脅等伴生性問(wèn)題，各種目的的網(wǎng)絡(luò)攻擊卻越來(lái)越頻繁，導(dǎo)致信息泄漏財(cái)產(chǎn)損失，尤其是近年來(lái)OpenSSL Heartbleed漏洞和各種0day漏洞最為突出。入侵檢測(cè)技術(shù)已成為社會(huì)急需解決的重大問(wèn)題。當(dāng)前的攻擊手段已經(jīng)從破壞傳輸協(xié)議的網(wǎng)絡(luò)層攻擊，逐漸變?yōu)槔酶鞣N漏洞、木馬病毒來(lái)獲得訪問(wèn)權(quán)限和提升權(quán)限等應(yīng)用層R2L(remote to local)和U2R(user to root)攻擊。網(wǎng)絡(luò)層上捕獲的數(shù)據(jù)流都是

2、正常，但依靠事件的發(fā)生順序，將報(bào)文或命令按照某種順序排列則構(gòu)成了一次攻擊。另外攻擊序列的微小變化而衍生出大量變種新攻擊將使基于模式匹配的入侵檢測(cè)失效。檢測(cè)出應(yīng)用層的U2R和R2L攻擊及其變種攻擊，使之對(duì)攻擊的刻畫更嚴(yán)謹(jǐn)和檢測(cè)更準(zhǔn)確，已成為當(dāng)前入侵檢測(cè)的重點(diǎn)與難點(diǎn)之一。
　　針對(duì)當(dāng)前應(yīng)用層U2R和R2L攻擊的入侵檢測(cè)方法的不足，本文對(duì)入侵檢測(cè)機(jī)制進(jìn)行了研究，完成的工作如下:研究了從攻擊數(shù)據(jù)中挖掘攻擊序列，將一個(gè)已知攻擊序列通過(guò)等價(jià)變

3、換和拓?fù)渑判蚪M織成一類攻擊，以形成入侵場(chǎng)景的技術(shù)，提出了基于序列模式和PN(Petri Net)機(jī)的場(chǎng)景入侵檢測(cè)模型。網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理后，通過(guò)協(xié)議解析重組應(yīng)用層會(huì)話，還原攻擊意圖，提取判別入侵的協(xié)議特征數(shù)據(jù)，作為序列模式挖掘的輸入得到頻繁攻擊序列。研究攻擊過(guò)程中對(duì)象的狀態(tài)及其變遷的內(nèi)在聯(lián)系，設(shè)計(jì)策略，使之得到關(guān)鍵攻擊序列;關(guān)鍵攻擊序列進(jìn)行等價(jià)變換和拓?fù)渑判颍压艏捌渌醒苌淖兎N攻擊組織進(jìn)一個(gè)場(chǎng)景，以擴(kuò)展形成一個(gè)入侵場(chǎng)景或一類入侵。構(gòu)造

4、入侵行為表達(dá)式，將操作行為表達(dá)式轉(zhuǎn)換至PN機(jī)，使之并發(fā)描述攻擊序列并檢測(cè)?？梢詸z測(cè)出只出現(xiàn)一次特征的應(yīng)用層序列攻擊，解決攻擊及其未知的變種攻擊的檢測(cè)問(wèn)題。
　　通過(guò)CPNTools仿真工具實(shí)驗(yàn)表明，從應(yīng)用層會(huì)話數(shù)據(jù)挖掘攻擊序列，構(gòu)建基于場(chǎng)景和檢測(cè)一類入侵行為的PN機(jī)，實(shí)現(xiàn)檢測(cè)某些攻擊特征序列在一次攻擊中只出現(xiàn)一次的目標(biāo);未知變種攻擊作為一種新的攻擊形態(tài)，實(shí)現(xiàn)檢測(cè)已知攻擊及其未知變種攻擊的目標(biāo)，因而從這種意義上說(shuō)本文的方法能檢測(cè)到新