資源描述:
《基于模糊—隱馬爾可夫模型的復(fù)合式攻擊預(yù)測(cè)方法研究》由會(huì)員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在工程資料-天天文庫(kù)。
1、基于模糊—隱馬爾可夫模型的復(fù)合式攻擊預(yù)測(cè)方法研究1緒論1.1研究背景隨著人類進(jìn)入信息化時(shí)代,對(duì)網(wǎng)絡(luò)中信息的安全傳輸、信息的安全存儲(chǔ)以及信息的安全處理,提出的要求越來(lái)越高。網(wǎng)絡(luò)就像一把雙刃劍,不僅使社會(huì)信息化速度加快,而且為信息安全保障問題提出巨大挑戰(zhàn)。近些年來(lái),網(wǎng)絡(luò)安全犯罪率也在逐年升高[1]。特別是,隨著網(wǎng)上銀行、銀行、電子商務(wù)等網(wǎng)上業(yè)務(wù)的興起,各種專用網(wǎng)絡(luò)的建設(shè),由之而來(lái)的網(wǎng)絡(luò)安全問題,逐漸成為人們關(guān)注的熱點(diǎn)問題。當(dāng)前,我國(guó)的網(wǎng)絡(luò)信息安全形勢(shì)嚴(yán)峻。一方面,電子政務(wù)工程的啟動(dòng),各個(gè)政府部門建立門戶網(wǎng)站,國(guó)家關(guān)鍵設(shè)施日益網(wǎng)絡(luò)化。而且隨著網(wǎng)上銀行、銀行和電子商務(wù)等業(yè)務(wù)的
2、興起,使得現(xiàn)有的網(wǎng)絡(luò)安全設(shè)施建設(shè)顯得日益落后;另一方面,病毒的傳播、黑客的入侵、各種網(wǎng)絡(luò)攻擊事件日益增多,而且攻擊成功率一直居高不下,我國(guó)的網(wǎng)絡(luò)信息安全形勢(shì)面臨巨大的挑戰(zhàn)[2]。由國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心于2014年6月發(fā)布的《2013年中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報(bào)告》可以看出:兩種較為典型的復(fù)合式攻擊:蠕蟲、分布式拒絕服務(wù)(DistributedDenialofService,DDoS)約占2013年全年網(wǎng)絡(luò)安全事件總數(shù)的60%。復(fù)合式攻擊這種攻擊形式正逐步成為攻擊的主流。統(tǒng)計(jì)數(shù)據(jù)如圖1.1所示。.1.2國(guó)內(nèi)外研究現(xiàn)狀1980年4月,學(xué)者JamesAnderson
3、撰寫的名為《puterSecurityThreatMonitoringandSurveillance》(計(jì)算機(jī)安全威脅監(jiān)測(cè)與監(jiān)控)的技術(shù)報(bào)告,該報(bào)告首次將入侵檢測(cè)引入了計(jì)算機(jī)安全領(lǐng)域。1986年Denning學(xué)者發(fā)表了一篇名為AnIntrusionDetectionModel的論文,該論文被認(rèn)為是:將入侵檢測(cè)正式引入計(jì)算機(jī)安全領(lǐng)域的里程碑[3]。1990年,加州大學(xué)Davis分校的ToddHeberlien學(xué)者開發(fā)的名為NSM(NetScreen-SecurityManager)安全管理軟件,該軟件的信息為網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包。由此將對(duì)入侵檢測(cè)分成了兩個(gè)研究領(lǐng)域:以主機(jī)
4、為基礎(chǔ)的檢測(cè)和以網(wǎng)絡(luò)為基礎(chǔ)的檢測(cè)。1998年,美國(guó)國(guó)防部發(fā)起名為IA:AIDE的項(xiàng)目[4]。該項(xiàng)目利用專家系統(tǒng)將由不同組件生成的信息融合,標(biāo)記異常行為,從中分析找尋攻擊遺留跡象。1999年,英國(guó)信息保障咨詢委員會(huì)(InformationAssuranceAdvisoryCouncil,IAAC)啟動(dòng)名為信息安全威脅評(píng)價(jià)及報(bào)警的項(xiàng)目[5]。該項(xiàng)目主要研究?jī)牲c(diǎn)內(nèi)容:(1)安全威脅量化方法。(2)可行的安全報(bào)警方法。但是,該項(xiàng)目的缺陷是:信息保障咨詢委員會(huì)對(duì)安全威脅評(píng)價(jià)量化方法和可行的預(yù)警方法的研究,僅局限于一個(gè)給定域中,不能應(yīng)用于真實(shí)情況中,研究?jī)?nèi)容有一定的局限性,在對(duì)未
5、來(lái)的攻擊進(jìn)行預(yù)測(cè)方面也沒有達(dá)到預(yù)期的效果。同年,美國(guó)學(xué)者HuangM-Y,JasperR-J和提出:首先將攻擊行為中的意圖提取,將其作為一個(gè)獨(dú)立因素[6]。然后將傳統(tǒng)的樹型結(jié)構(gòu)擴(kuò)充,對(duì)意圖建模,預(yù)測(cè)攻擊者后續(xù)可能的攻擊。實(shí)驗(yàn)證明該方法可行但性能較差[7]。.2主動(dòng)防御技術(shù)與復(fù)合式攻擊安全預(yù)警技術(shù)2.1復(fù)合式攻擊的相關(guān)術(shù)語(yǔ)定義2.1.1攻擊:嘗試破壞攻擊目標(biāo)中的資源和信息的可用性、完整性和保密性,試圖摧毀攻擊目標(biāo)的一種主動(dòng)行為[13]。定義2.1.2單步攻擊:是指如果該攻擊中只存在一個(gè)能夠唯一標(biāo)識(shí)該攻擊的行為。并且該行為可以直接被檢測(cè)到,那么這種攻擊稱為單步攻擊。由于現(xiàn)
6、階段,復(fù)合式攻擊的定義尚未統(tǒng)一,那么根據(jù)定義2.1.2給出的單步攻擊的定義,將復(fù)合式攻擊理解為具有以下特征的攻擊行為。復(fù)合式攻擊是指攻擊者通過掃描等手段,發(fā)現(xiàn)攻擊目標(biāo)自身存在的安全漏洞。利用其自身存在的安全漏洞,蓄意采用由多步攻擊步驟構(gòu)成的攻擊行為對(duì)目標(biāo)進(jìn)行攻擊,試圖給目標(biāo)以致命打擊,最終摧毀目標(biāo)[14]。在第一步攻擊步驟中,攻擊者根據(jù)攻擊經(jīng)驗(yàn),選擇fping這種攻擊方式實(shí)現(xiàn)IP地址掃描功能,達(dá)到了第一步攻擊步驟的目的,為下一步的攻擊做好準(zhǔn)備。在第二步攻擊步驟中,依據(jù)第一步攻擊步驟所獲取的信息,攻擊者選擇了strobe這種攻擊方式實(shí)現(xiàn)了端口掃描功能,達(dá)到了第二個(gè)攻擊步
7、驟的目的,為下一步的攻擊做好準(zhǔn)備。在第三步攻擊步驟中,依據(jù)前兩步攻擊步驟獲取的信息,攻擊者選擇了tftp這種攻擊方式實(shí)現(xiàn)了獲取口令,達(dá)到了第三步攻擊步驟的目的,為下一步的攻擊做好準(zhǔn)備。在第四步攻擊步驟中,依據(jù)前三個(gè)攻擊步驟所獲取的信息,攻擊者選擇了johntheripper這種攻擊方式實(shí)現(xiàn)了破解口令,達(dá)到了第四步攻擊步驟的攻擊目的,做好了最后一步系統(tǒng)登陸的準(zhǔn)備。最終成功登陸系統(tǒng)。攻擊者為了實(shí)現(xiàn)最后的非法登陸系統(tǒng)的目的,采用包含多步攻擊步驟的復(fù)合式攻擊方法,每一步攻擊步驟的成功實(shí)施,都為后面的攻擊步驟的實(shí)施奠定了基礎(chǔ)[16],每一步攻擊步驟都會(huì)在獲取前