论文部分内容阅读
近年来,随着安全事件的快速增长,网络安全引起了很多国家的高度关注。自1980年第一次公开的安全漏洞报告以来,网络攻击的方式和类型变得越来越复杂,难以侦测。入侵检测技术已被广泛用作网络攻击的保护措施,入侵检测技术涉及到漏洞风险探测、网络安全连接检查、系统和网络日志分析等多种技术手段。随着机器学习技术的快速发展,将机器学习技术应用到基于数据分析的入侵检测领域越来越受到各个组织机构的重视。实践证明,利用机器学习技术实现入侵检测是一类有效的保护手段。然而面对日益复杂多变的攻击手段,入侵检测技术在入侵检测系统上的应用逐渐暴露出一些问题。首先,入侵检测系统所处网络层级较低,发出的原始警报大多是孤立的,警报之间暗含的攻击事件之间的关联性无法体现。其次,原始警报的数据量庞大且繁杂,各入侵检测传感器之间缺乏信息交流,更不能对低级的警报信息做进一步分析处理,如此海量的警报数据对于系统安全管理员来说是沉重的负担,不利于及时获取攻击者的攻击意图和做出应对措施。针对以上的各种问题,本文从信息网络的入侵检测方法及警报关联技术方面进行了以下研究:针对信息网络的入侵检测问题,本文设计了基于特征选择的半监督学习入侵检测模型。基于半监督学习的方法应用少量标签数据和大量未标记的数据来训练检测模型,可以避免数据标记的昂贵成本。在第一阶段,为了去除对分类贡献不大的特征,在分类前应用基于信息增益的特征选择方法处理数据集。信息增益值小于阈值的特征被去除。然后处理过的数据作为第二阶段训练的输入数据。第二阶段,我们应用在图像分类领域得到良好应用的基于流形假设(manifold assumption)的拉普拉斯支持向量机(Laplacian Support Vector Machines,LapSVM)作为训练模型的核心算法。在NSL-KDD上的实验结果表明,我们的模型能够实现97.8%的分类准确度,同时降低假阳性率到2%。针对警报关联分析问题,本文设计了基于因果关联的警报关联模型,使用基于特征知识库的因果关联方法发掘警报之间的关联关系,还原复杂多步攻击事件的攻击路径,并进一步分析攻击者的攻击意图。整个模型主要分为四个部分:警报数据收集、警报数据预处理、警报关联、警报关联结果显示。警报数据预处理模块将原始警报信息处理为格式统一的超警报信息,警报关联模块借助关联知识库对超警报信息进行因果关联分析,得出可以反映复杂攻击的多步攻击路径的超警报序列。警报关联结果显示模块利用有向无环图将最后得出的警报关联图可视化展示给系统安全管理员。通过DARPA 2000数据集的实验验证和分析发现,本文提出的模型可以较为准确地还原DDoS攻击的各个攻击阶段。警报关联结果显示模块能够清晰、全面地反映出复杂攻击事件的完整攻击场景,帮助系统安全管理员及时分析得出攻击者的攻击策略和意图,并及时作出防范措施。综上所述,本文针对基于半监督学习的入侵检测方法及警报关联技术方面进行了深入研究,提出了具有较好应用价值的理论模型,并利用实验进行了验证,实现了对于网络攻击的有效检测和深入分析。