IDS告警信息關(guān)聯(lián)分析技術(shù).pdf

1、國內(nèi)圖書分類號:TP393.08國際圖書分類號:681.3工學(xué)碩士學(xué)位論文（同等學(xué)力人員）IDS告警信息關(guān)聯(lián)分析技術(shù)IDS告警信息關(guān)聯(lián)分析技術(shù)碩士研究生：張玥導(dǎo)師：李斌教授申請學(xué)位：工學(xué)碩士學(xué)科、專業(yè)：計算機科學(xué)與技術(shù)所在單位：哈爾濱工業(yè)大學(xué)答辯日期：2006年10月25日授予學(xué)位單位：哈爾濱工業(yè)大學(xué)哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文I摘要摘要互聯(lián)網(wǎng)的發(fā)展為全球范圍內(nèi)實現(xiàn)高效的資源和信息共享提供了方便，同時也對網(wǎng)絡(luò)安全防護提出了新的挑戰(zhàn)。網(wǎng)

2、絡(luò)入侵檢測技術(shù)作為一種積極主動的安全防護技術(shù)正成為目前網(wǎng)絡(luò)安全領(lǐng)域中研究的熱點。但是當前這些網(wǎng)絡(luò)入侵檢測系統(tǒng)正面臨著嚴重的信任危機，如何有效地降低漏報率和誤報率成為入侵檢測領(lǐng)域亟待解決的關(guān)鍵問題。針對當前入侵檢測系統(tǒng)普遍存在的告警層次較低，僅能反映簡單瑣碎的攻擊片段等問題，提出了一種基于多種分析方法的，融合了聚類分析和數(shù)據(jù)挖掘方法來進行宏觀分析。攻擊者完成一次復(fù)雜的攻擊需要進行多個步驟，這些步驟之間會存在一些因果聯(lián)系，前一步驟是為后一步

3、驟做準備工作，通過對攻擊情境建模，便可以在看似差別很大的報警事件間建立起報警關(guān)聯(lián)，將多個報警事件聯(lián)系起來，從而還原出真實攻擊的原貌，達到從大量低層次報警事件中檢測出多步驟攻擊的目的。本文便是采用這種基于先決條件的關(guān)聯(lián)思想，以著色Petri網(wǎng)（ColedPetrisCPN）為理論背景，發(fā)展出一種通過采用CPN建立攻擊模板來對攻擊情境建模，從而關(guān)聯(lián)多步驟攻擊的方法，并用實驗證明了以該方法實現(xiàn)的系統(tǒng)的可用性及對不同規(guī)模數(shù)據(jù)的適應(yīng)性。系統(tǒng)對告警