基于序列模式和PN機的場景入侵檢測研究與設(shè)計.pdf

1、信息化的快速發(fā)展帶來諸多網(wǎng)絡(luò)安全威脅等伴生性問題，各種目的的網(wǎng)絡(luò)攻擊卻越來越頻繁，導(dǎo)致信息泄漏財產(chǎn)損失，尤其是近年來OpenSSL Heartbleed漏洞和各種0day漏洞最為突出。入侵檢測技術(shù)已成為社會急需解決的重大問題。當(dāng)前的攻擊手段已經(jīng)從破壞傳輸協(xié)議的網(wǎng)絡(luò)層攻擊，逐漸變?yōu)槔酶鞣N漏洞、木馬病毒來獲得訪問權(quán)限和提升權(quán)限等應(yīng)用層R2L(remote to local)和U2R(user to root)攻擊。網(wǎng)絡(luò)層上捕獲的數(shù)據(jù)流都是

2、正常，但依靠事件的發(fā)生順序，將報文或命令按照某種順序排列則構(gòu)成了一次攻擊。另外攻擊序列的微小變化而衍生出大量變種新攻擊將使基于模式匹配的入侵檢測失效。檢測出應(yīng)用層的U2R和R2L攻擊及其變種攻擊，使之對攻擊的刻畫更嚴(yán)謹(jǐn)和檢測更準(zhǔn)確，已成為當(dāng)前入侵檢測的重點與難點之一。
　　針對當(dāng)前應(yīng)用層U2R和R2L攻擊的入侵檢測方法的不足，本文對入侵檢測機制進行了研究，完成的工作如下:研究了從攻擊數(shù)據(jù)中挖掘攻擊序列，將一個已知攻擊序列通過等價變

3、換和拓?fù)渑判蚪M織成一類攻擊，以形成入侵場景的技術(shù)，提出了基于序列模式和PN(Petri Net)機的場景入侵檢測模型。網(wǎng)絡(luò)數(shù)據(jù)預(yù)處理后，通過協(xié)議解析重組應(yīng)用層會話，還原攻擊意圖，提取判別入侵的協(xié)議特征數(shù)據(jù)，作為序列模式挖掘的輸入得到頻繁攻擊序列。研究攻擊過程中對象的狀態(tài)及其變遷的內(nèi)在聯(lián)系，設(shè)計策略，使之得到關(guān)鍵攻擊序列;關(guān)鍵攻擊序列進行等價變換和拓?fù)渑判?，把攻擊及其所有衍生的變種攻擊組織進一個場景，以擴展形成一個入侵場景或一類入侵。構(gòu)造

4、入侵行為表達(dá)式，將操作行為表達(dá)式轉(zhuǎn)換至PN機，使之并發(fā)描述攻擊序列并檢測?？梢詸z測出只出現(xiàn)一次特征的應(yīng)用層序列攻擊，解決攻擊及其未知的變種攻擊的檢測問題。
　　通過CPNTools仿真工具實驗表明，從應(yīng)用層會話數(shù)據(jù)挖掘攻擊序列，構(gòu)建基于場景和檢測一類入侵行為的PN機，實現(xiàn)檢測某些攻擊特征序列在一次攻擊中只出現(xiàn)一次的目標(biāo);未知變種攻擊作為一種新的攻擊形態(tài)，實現(xiàn)檢測已知攻擊及其未知變種攻擊的目標(biāo)，因而從這種意義上說本文的方法能檢測到新