協(xié)同入侵防御系統(tǒng)的網(wǎng)絡(luò)日志分析.pdf

1、隨著網(wǎng)絡(luò)及其應(yīng)用的快速發(fā)展,針對(duì)網(wǎng)絡(luò)的入侵行為越來(lái)越普遍.目前針對(duì)這些攻擊的入侵檢測(cè)系統(tǒng)普遍通過(guò)字符串匹配方法檢測(cè)入侵行為,如果匹配成功則輸出報(bào)警信息,這種檢測(cè)方式簡(jiǎn)單、速度高,能有效檢測(cè)大多數(shù)端口掃描攻擊和Web試探攻擊.隨著網(wǎng)絡(luò)攻擊手段的復(fù)雜化,傳統(tǒng)的字符串匹配方式逐漸暴露它的不足:只對(duì)數(shù)據(jù)包內(nèi)容做簡(jiǎn)單的匹配而無(wú)法檢測(cè)多種變形攻擊,形成漏警問(wèn)題;檢測(cè)引擎對(duì)數(shù)據(jù)包只做簡(jiǎn)單的第三、四層協(xié)議解碼后就利用內(nèi)容匹配檢測(cè)攻擊,沒(méi)有兩次或者多次匹

2、配的過(guò)程,也就是沒(méi)有累計(jì)匹配和邏輯匹配,因此不能檢測(cè)分布式攻擊事件,容易受到愚弄而被繞過(guò),再次形成漏警問(wèn)題.針對(duì)上述問(wèn)題,協(xié)同入侵防御系統(tǒng)CIPS(Cooperative Intrusion Prevention System)采用網(wǎng)絡(luò)日志分析方法建立入侵檢測(cè)規(guī)則庫(kù),防范變形攻擊和分布式拒絕服務(wù)攻擊.網(wǎng)絡(luò)日志分析的基礎(chǔ)是比較歷史攻擊行為的輪廓和當(dāng)前用戶行為的輪廓,如果兩者相似,則認(rèn)為攻擊行為發(fā)生.這種規(guī)則建立方式不依賴于特定的字符串,考

3、慮了攻擊行為可能發(fā)生的變化,所以能有效提高對(duì)變形攻擊以及分布式拒絕攻擊的檢測(cè)率.通過(guò)端口映射的方法將針對(duì)每個(gè)服務(wù)端口的訪問(wèn)映射到相應(yīng)的分析節(jié)點(diǎn)上,使各個(gè)分析節(jié)點(diǎn)并行分析針對(duì)各個(gè)服務(wù)的攻擊,提高了大規(guī)模網(wǎng)絡(luò)環(huán)境下的日志分析速度,從而減少了響應(yīng)延遲;依據(jù)網(wǎng)絡(luò)日志格式的特點(diǎn)研究并實(shí)現(xiàn)了關(guān)聯(lián)分析算法,通過(guò)特征轉(zhuǎn)換,使得關(guān)聯(lián)分析算法適于分析網(wǎng)絡(luò)日志格式,在評(píng)估關(guān)聯(lián)規(guī)則檢測(cè)效果的時(shí)候綜合考慮了置信度和支持度兩種因素的影響.采用C和C++語(yǔ)言在lin

4、ux操作系統(tǒng)下實(shí)現(xiàn)了CIPS中的網(wǎng)絡(luò)日志分析子系統(tǒng),并對(duì)該子系統(tǒng)進(jìn)行了安全性測(cè)試.分別測(cè)試了Finger攻擊的6種工具和分布式拒絕服務(wù)攻擊的6種工具,并且探討了當(dāng)關(guān)聯(lián)規(guī)則的支持度和置信度變化時(shí)檢測(cè)率的變化.結(jié)果表明:對(duì)于Finger攻擊和DDoS攻擊,采用傳統(tǒng)字符串匹配檢測(cè)效果不佳,而利用網(wǎng)絡(luò)日志分析方法獲得較好的檢測(cè)率,并且兩種攻擊的檢測(cè)率隨著支持度和置信度的增加而減少,支持度對(duì)Finger攻擊影響較大而置信度對(duì)DDoS攻擊影響較大.