ids告警信息關(guān)聯(lián)分析技術(shù)

1、國(guó)內(nèi)圖書分類號(hào):TP393.08國(guó)際圖書分類號(hào):681.3工學(xué)碩士學(xué)位論文（同等學(xué)力人員）IDS告警信息關(guān)聯(lián)分析技術(shù)碩士研究生：張玥導(dǎo)師：李斌教授申請(qǐng)學(xué)位：工學(xué)碩士學(xué)科、專業(yè)：計(jì)算機(jī)科學(xué)與技術(shù)所答在辯單日位：哈爾濱工業(yè)大學(xué)期：2006年10月25日授予學(xué)位單位：哈爾濱工業(yè)大學(xué)哈爾濱工業(yè)大學(xué)工學(xué)碩士學(xué)位論文摘要互聯(lián)網(wǎng)的發(fā)展為全球范圍內(nèi)實(shí)現(xiàn)高效的資源和信息共享提供了方便，同時(shí)也對(duì)網(wǎng)絡(luò)安全防護(hù)提出了新的挑戰(zhàn)。網(wǎng)絡(luò)入侵檢測(cè)技術(shù)作為一種積極主動(dòng)的

2、安全防護(hù)技術(shù)正成為目前網(wǎng)絡(luò)安全領(lǐng)域中研究的熱點(diǎn)。但是當(dāng)前這些網(wǎng)絡(luò)入侵檢測(cè)系統(tǒng)正面臨著嚴(yán)重的信任危機(jī)，如何有效地降低漏報(bào)率和誤報(bào)率成為入侵檢測(cè)領(lǐng)域亟待解決的關(guān)鍵問題。針對(duì)當(dāng)前入侵檢測(cè)系統(tǒng)普遍存在的告警層次較低，僅能反映簡(jiǎn)單瑣碎的攻擊片段等問題，提出了一種基于多種分析方法的，融合了聚類分析和數(shù)據(jù)挖掘方法來進(jìn)行宏觀分析。攻擊者完成一次復(fù)雜的攻擊需要進(jìn)行多個(gè)步驟，這些步驟之間會(huì)存在一些因果聯(lián)系，前一步驟是為后一步驟做準(zhǔn)備工作，通過對(duì)攻擊情境建模

3、，便可以在看似差別很大的報(bào)警事件間建立起報(bào)警關(guān)聯(lián)，將多個(gè)報(bào)警事件聯(lián)系起來，從而還原出真實(shí)攻擊的原貌，達(dá)到從大量低層次報(bào)警事件中檢測(cè)出多步驟攻擊的目的。本文便是采用這種基于先決條件的關(guān)聯(lián)思想，以著色Petri網(wǎng)（ColedPetrisCPN）為理論背景，發(fā)展出一種通過采用CPN建立攻擊模板來對(duì)攻擊情境建模，從而關(guān)聯(lián)多步驟攻擊的方法，并用實(shí)驗(yàn)證明了以該方法實(shí)現(xiàn)的系統(tǒng)的可用性及對(duì)不同規(guī)模數(shù)據(jù)的適應(yīng)性。系統(tǒng)對(duì)告警信息再分析和再組織，消除冗余的信