基于狀態(tài)遷移的入侵場景檢測系統(tǒng).pdf

1、隨著Internet技術的迅速發(fā)展，網(wǎng)絡入侵問題也越發(fā)嚴重，入侵檢測己成為網(wǎng)絡防護安全體系中的重要組成部分。入侵檢測系統(tǒng)通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，以發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到攻擊的跡象。
　　傳統(tǒng)的入侵檢測系統(tǒng)（Intrusion Detection System，IDS）只能檢測低水平的攻擊，而且僅產(chǎn)生一些孤立的報警，這使系統(tǒng)管理員很難理解這些孤立的報警，也不可能依據(jù)這

2、些報警做出適當?shù)奶幚硇袨?。實際中每種攻擊都是由一系列小的階段組成的，這些階段會產(chǎn)生相應的報警，利用這些報警作為特征場景（scenario），可以使用它們作為攻擊的特征，來描述和代表攻擊。本文把IDS報警歸類為若干種超報警（Hyper-Alert）類型，為每種超報警類型定義相應的攻擊條件和攻擊結果，通過對超報警的關聯(lián)分析，生成超報警關聯(lián)圖，構建出攻擊過程，從而揭示出攻擊者的攻擊策略和攻擊意圖。
　　本文提出了一種基于規(guī)則的層次模型，

3、而且采用了開源的專家系統(tǒng)（CLIPS/Drools）作為規(guī)則的推理引擎，分析和構建攻擊場景。本文完成了規(guī)則的設計，專家系統(tǒng)規(guī)則模板的構造，以及一個完整的入侵檢測系統(tǒng)的實現(xiàn)。該系統(tǒng)使用了專家系統(tǒng)和狀態(tài)遷移的入侵檢測技術，能夠對Snort報警進行實時場景檢測，并對檢測出的攻擊進行場景還原，生成攻擊圖，據(jù)此可以清楚地看到攻擊的過程。最后，對分別采用CLIPS和Drools作為專家推理系統(tǒng)的入侵檢測系統(tǒng)進行了效率比較和分析。
　　本方法的

4、優(yōu)點主要體現(xiàn)在基于狀態(tài)遷移和專家系統(tǒng)技術的攻擊場景檢測系統(tǒng)能夠把大量的IDS報警歸類為不同的攻擊場景，每一個場景代表攻擊的一個階段，然后專家系統(tǒng)對這些場景進行關聯(lián)分析，生成攻擊場景圖。這樣網(wǎng)絡安全管理員就不需要一個一個地觀察報警信息，他們可以根據(jù)場景圖很好地理解這些報警數(shù)據(jù)，然后對真正的安全問題做出正確的判斷和處理。管理員還可以根據(jù)攻擊發(fā)生后這些攻擊形成的場景和階段發(fā)現(xiàn)入侵者的攻擊策略，據(jù)此可以更有效的維護系統(tǒng)以免遭受同類型的攻擊。同時