第一章绪论
在研究分析现有多阶段攻击的检测的基础上,针对多阶段攻击检测所存在的问题,将反馈控制机制与入侵检测相结合,提出基于FBCM的多阶段攻击检测模型,并就该模型的有效性进行了分析,与普通的检测方法进行比较分析得出本文提出的模型确实在检测多阶段攻击时具有优势。最后将该模型应用于蠕虫攻击的检测与响应中,并对普通的蠕虫检测方法与本文提出的方法进行了实验数据的分析。1.2研究内容本课题的研究目标是通过对现有多阶段攻击及其检测方法的研究,总结针对多阶段攻击检测所存在的问题,探讨将控制论中的反馈控制机制引入到入侵检测领域中,提出了基于FBCM的多阶段攻击检测模型,并就提出的模型应用于蠕虫检测进行了研究。1、通过对两种典型的多阶段攻击的分析归纳出多阶段攻击的一般过程,并分析了其检测方法,指出其在误报率和检测结果的不相关性方面存在缺点,提出针对多阶段攻击问题的解决办法。在对现有的典型多阶段攻击一DDOS和木马攻击的攻击过程及检测方法进行分析的基础上,归纳出一般的多阶段攻击的过程,并对多阶段攻击的检测方法进行了分析,指出了现有的检测方法所存在的缺点,提出要解决的问题及相应的对策。2、在深入研究了反馈控制机制的基础上,提出针对多阶段攻击的基于FBCM的检测模型,一定程度地解决了多阶段攻击难以检测及响应的问题,并对该方法在检测多阶段攻击过程中所产生的误报率进行了分析。反馈控制机制能够综合考虑系统在攻击的前个阶段中所采取的策略,并将前后的阶段状态关联起来。
本文在研究反馈控制机制的基础上,针对目前入侵检测存在的问题,在入侵检测中引入反馈控制机制,使得新构建的模型将攻击的各个阶段所采取的措施以及上个阶段的状态综合起来确定系统当前所处的攻击阶段,并依据此参数来选取相应的策略,本文还详细分析了构建该模型的过程及模型的优势,对模型检测多阶段攻击时的误报率进行了分析。3、在分析了多阶段攻击的马氏性基础上,提出基于马尔可夫链的检测效果分析方法,并用此方法分析了基于FB(:MCFeedbackControlMechanism)的检测模型相对于普通方法的优势。本文分析了在对多阶段,攻击的马尔可夫性,因此用马尔可夫链求解稳态概率的方法得系统处于各个攻击状态的概率,最后还对本模型的检测效果与普通检测方法的效果进行了分析,从而得出本模型的确能够改善系统在遭受多阶段攻击时被完全攻瘫的可能性,并且该分析方法为改善检测措施提供了理论依据。4、针对一种典型的多阶段攻击一一蠕虫,应用基于FBCM的检测模型进行检测与响应,给出了该模型应用于蠕虫攻击检测的实验数据与结果分析。针对现有网络中存在的危害比较大的网络蠕虫攻击,首先通过分析两种典型的蠕虫攻击的攻击步骤和蠕虫的实体结构,得知网络蠕虫攻击是一种典型的多阶段攻击。
在分析了传统的安全解决方法不能对其进行有效的检测与响应后,根据本文提出的检测模型构建基于FBCM的蠕虫检测模型,并选取相关阶段的检测方法,最后还对基于闭值的蠕虫检测方法与本文提出的方法做了实验,并对实验数据进行了分析。1.3本文的结构安排论文共分六章,各章的主要内容安排如下:第一章,绪论部分,简要介绍了课题背景、研究内容和本文的结构安排。第二章,通过对两种典型的多阶段攻击的分析归纳出多阶段攻击的一般过程,并分析了其检测方法,指出其在误报率和检测结果的不相关性方面存在缺点,提出针对多阶段攻击问题的解决办法。第三章,在分析研究反馈控制机制理论的基础上,将反馈控制机制与入侵检测相结合,提出了基于FBCM的多阶段攻击检测模型,详细说明了基于FBCM的检测模型的适用条件及构建过程,最后对该模型检测多阶段攻击时的误报率进行了分析。
参考文献
[1]CNCERT/CC. 2007年网络安全工作报告「EB/OL].国家计算机网络应急技术处理协调中心.2008-3-22.
[2]刘欣然.网络攻击分类技术综述〔J].通信学报,2004, 25 (7) : 31-36
[3]程秉辉.John Hawke.黑客任务实战[M].北京:北京希望电子出版社,2003.
[4]王晓陵.最优化方法与最优控制「M].哈尔滨:哈尔滨工程大学出版社.2006.
[5]Shotgun.揭开木马的神秘面纱[EB/OL]. 2001
[6]郑辉.Internet蠕虫研究[博士学位论文」.天津:南开大学信息技术科学学院,2003.
[7]王业君.网络蠕虫的机理与防范「D].北京:中科院研究生院,2005. 5
摘要 7-8
Abstract 8
第一章 绪论 9-13
1.1 课题背景 9
1.2 研究内容 9-10
1.3 本文的结构安排 10-13
第二章 面向多阶段攻击的检测技术综述 13-25
2.1 概述 13
2.2 多阶段攻击过程 13-18
2.2.1 典型攻击的多阶段攻击过程 13-15
2.2.2 多阶段攻击的一般过程 15-18
2.3 多阶段攻击检测技术 18-22
2.3.1 典型多阶段攻击的检测方法及其效果分析 18-20
2.3.2 基于状态转换分析的检测方法 20-22
2.4 多阶段攻击检测存在问题及对策 22-23
2.4.1 存在问题 22-23
2.4.2 解决对策 23
2.5 本章小结 23-25
第三章 基于反馈控制机制的多阶段攻击检测模型 25-39
3.1 反馈控制机制理论基础 25-26
3.2 基于FBCM的多阶段攻击检测模型 26-29
3.2.1 基于FBCM的检测模型 26-27
3.2.2 攻击阶段状态评估 27-28
3.2.3 攻击响应策略选择 28-29
3.2.4 模型的适用条件 29
3.3 模型反馈控制流程 29-30
3.4 模型构建过程 30-35
3.4.1 状态转移矩阵与观察概率矩阵生成 31-33
3.4.2 代价矩阵的生成 33-35
3.5 多阶段攻击的检测误报率分析 35-38
3.5.1 状态估计值分析前提假设 35-36
3.5.2 攻击阶段状态估计 36-37
3.5.3 误报率分析 37-38
3.6 本章小结 38-39
第四章 基于FBCM检测模型的检测效果分析 39-47
4.1 多阶段攻击马氏性分析 39-40
4.2 马氏的理论依据 40-42
4.3 基于马氏链的检测效果分析方法 42-44
4.3.1 检测效果分析方法相关定义 42-43
4.3.2 检测效果分析过程 43-44
4.4 基于FBCM检测模型效果分析 44-46
4.4.1 基于FBCM的检测方法效果分析 44-45
4.4.2 普通检测方法效果分析 45-46
4.4.3 两种检测方法对比 46
4.5 本章小结 46-47
第五章 针对典型多阶段攻击—蠕虫攻击的检测研究 47-69
5.1 概述 47
5.2 典型蠕虫攻击分析 47-50
5.2.1 冲击波 48-49
5.2.2 震荡波 49-50
5.3 蠕虫攻击阶段提取 50-52
5.3.1 主功能模块 50-51
5.3.2 辅助功能模块 51
5.3.3 蠕虫攻击阶段性分析 51-52
5.4 针对蠕虫攻击的传统安全解决办法 52-53
5.5 基于FBCM的蠕虫检测方法 53-64
5.5.1 基于FBCM的蠕虫检测模型 53-54
5.5.2 阶段一检测—数据包中shellcode检测 54-56
5.5.3 阶段二检测—特权进程溢出检测 56-58
5.5.4 阶段三检测—系统异常进程检测 58-61
5.5.5 阶段四检测—蠕虫自我繁殖检测 61-64
5.6 实验过程及实验数据分析 64-67
5.6.1 实验环境 64-65
5.6.2 攻击状态判断及误报率分析 65-66
5.6.3 模型检测有效性分析 66-67
5.7 本章小结 67-69
第六章 结束语 69-71
6.1 全文工作总结 69
6.2 有待进一步研究的问题 69-71