论文部分内容阅读
随着网络应用范围的不断扩大,对网络的各类攻击与破坏与日俱增,网络入侵技术也在不断进步。当前,复合攻击已经成为网络攻击的主要形式之一,给社会带来了越来越大的危害。大多数的入侵检测系统只能检测,却不能预测攻击者下一步可能的攻击行为。为了使入侵检测系统能够从被动检测转为主动防御,本文提出了一种复合攻击预测方法,通过该方法识别攻击者的最终意图,预测攻击者下一步可能进行的攻击行为。
为了降低攻击预测过程占用的系统时间,提高预测的准确率。本文将报警事件按攻击意图分类,将相同或相似的报警信息进行聚合,根据目标系统的相关配置信息去除那些虽然是真正入侵,但对目标系统不会造成伤害的系统免疫报警。
本文讨论了关于复合攻击的定义以及相关的理论证明,其目的是为了从理论上定义和形式化复合攻击。将入侵意图识别的对象集中在纯的基于因果关系的复合攻击上,并证明了任何一种复合攻击的标准攻击序列的前缀集合是正则文法,使得根据当前的复合攻击的进行状况推断其意图,即对复合攻击进行预测,成为可能。
本文利用攻击意图描述复合攻击过程,建立了基于攻击意图的复合攻击逻辑关系图。在复合攻击预测过程中,引入攻击效用的概念,表示入侵者在攻击过程中完成每步攻击所获得的收益的大小,它受到来自攻击本身和目标系统的双重制约,是复合攻击预测的重要参考。
最后,使用VB.NET和MYSQL开发了复合攻击预测实验系统,将DARPA2000年提供的攻击场景测试数据集LLDOS1.0(inside)和局域网环境下进行MS SQL server SA弱口令入侵的报警数据集作为实验的原始数据,实验结果证明了基于攻击效用的复合攻击预测算法的有效性。