基于入侵檢測(cè)漏洞掃描聯(lián)動(dòng)機(jī)制攻擊場(chǎng)景模型.pdf

1、漏洞掃描和入侵檢測(cè)是當(dāng)今網(wǎng)絡(luò)安全的主流技術(shù)。網(wǎng)絡(luò)漏洞掃描可發(fā)現(xiàn)網(wǎng)絡(luò)的安全脆弱點(diǎn)，并給出相應(yīng)的修補(bǔ)的措施，能夠在被黑客攻擊前做到先堵住漏洞，使網(wǎng)絡(luò)安全工作做到防忠于未然。而入侵檢測(cè)系統(tǒng)對(duì)網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑數(shù)據(jù)時(shí)發(fā)出報(bào)警，及時(shí)地發(fā)現(xiàn)入侵行為。 然而，漏洞掃描器和入侵檢測(cè)系統(tǒng)都存在缺陷，首先是誤報(bào)和漏報(bào)的問(wèn)題。對(duì)于漏洞掃描，一是掃描器是定時(shí)執(zhí)行，不是實(shí)時(shí)監(jiān)控，而產(chǎn)生漏報(bào)。二是當(dāng)掃描大規(guī)模網(wǎng)絡(luò)時(shí)，漏洞信息也很龐大，掃描到的

2、一些隱患在真實(shí)黑客攻擊中很難利用，沒(méi)有實(shí)際意義，而產(chǎn)生誤報(bào)。而對(duì)于入侵檢測(cè)，海量報(bào)警和重復(fù)報(bào)警是產(chǎn)生誤報(bào)和漏報(bào)的原因。入侵檢測(cè)系統(tǒng)每天產(chǎn)生成千上萬(wàn)條報(bào)警使得安全管理員疲于奔命，同時(shí)由于其中大部分是無(wú)關(guān)緊要的、或重復(fù)的報(bào)警。同時(shí)，漏洞掃描和入侵檢測(cè)的另一個(gè)共同的缺陷就是沒(méi)有對(duì)漏洞信息和入侵報(bào)警進(jìn)行相關(guān)分析。 針對(duì)上述問(wèn)題，本文提出了一種基于入侵檢測(cè)和漏洞掃描聯(lián)動(dòng)機(jī)制的攻擊場(chǎng)景構(gòu)建模型。該模型一個(gè)重要特點(diǎn)是，針對(duì)漏洞掃描和入侵檢測(cè)的

3、漏報(bào)和誤報(bào)問(wèn)題，提出了將兩者進(jìn)行聯(lián)動(dòng)的機(jī)制。該模型的另一個(gè)重要特點(diǎn)是，從兩個(gè)方面構(gòu)建攻擊場(chǎng)景，一是通過(guò)漏洞分析生成攻擊圖，一是通過(guò)報(bào)警關(guān)聯(lián)構(gòu)建攻擊場(chǎng)景。我們可以用構(gòu)建的攻擊場(chǎng)景來(lái)表達(dá)多步驟攻擊的狀況。在漏洞分析方面，我們通過(guò)Prolog語(yǔ)言描述的規(guī)則來(lái)自動(dòng)生成攻擊圖。在入侵報(bào)警分析方面，入侵報(bào)警經(jīng)過(guò)信息標(biāo)準(zhǔn)化，報(bào)警聚類(lèi)，最后利用著色Petri網(wǎng)構(gòu)建攻擊場(chǎng)景。其中，報(bào)警聚類(lèi)的方法也可以有效地降低入侵檢測(cè)重復(fù)報(bào)警的問(wèn)題。最后我們用實(shí)驗(yàn)來(lái)說(shuō)明