学位论文 > 优秀研究生学位论文题录展示

基于攻击文法的网络攻击建模和攻击序列分析

作 者: 张殷乾
导 师: 李建华
学 校: 上海交通大学
专 业: 通信与信息系统
关键词: 攻击图 攻击文法 网络攻击建模 攻击序列分析 入侵检测报警关联
分类号: TP393.08
类 型: 硕士论文
年 份: 2009年
下 载: 62次
引 用: 2次
阅 读: 论文下载
 

内容摘要


越来越复杂的网络结构、越来越大的网络规模向网络安全管理员提出了挑战。在大规模网络中,如军事网络、政府机构网络和企业网络,攻击者的入侵不再是针对某一台主机,也不仅仅是利用单一的系统漏洞,而更多的是以多步的方式,首先攻陷网络边缘的某台主机,然后以该主机为跳板,进一步攻击网络内部的主机,进而一步一步渗透至网络内部。多步入侵的方式使得单一的防火墙已经不能有效的保护处于网络内部的关键资源,简单的被动防御的方法已经不能有效的阻止网络攻击。网络的安全管理员们经常被数以万计的防火墙和入侵检测系统的报警淹没,他们不能对网络攻击场景把握全局的认识,而仅仅能够识别攻击者每一步的攻击行为。为了解决这个问题,必须为安全管理员建立有效的网络攻击模型,从整体把握网络的脆弱点,为加强安全性和监控关键路径提供必要的信息。本文完成了以下工作:第一,本文在前人工作的基础上,完善了大规模网络的攻击建模方法。在这方面的研究中,首先,本文提出以面向对象的方法对漏洞信息进行建模,这种方法的最大的特点是利于模型的扩展。其次,本文应用了下推自动机模型对网络攻击场景进行全局性的建模,这种方法不仅使网络模型更严谨、规范,还能够明确的定义网络攻击模型的描述能力。另外,本文在网络攻击自动建模方面也进行了深入的研究。第二,本文提出了攻击文法模型。在相关领域,近年来国内外的主要研究方法是采用攻击图模型。本文提出的攻击文法模型在很多方面相比于攻击图模型更有优势,比如模型的描述能力、生成算法的复杂度、以及分析方法和应用前景等方面。攻击文法模型可以作为攻击图模型的替代或者补充。攻击文法是一种上下文无关文法。在攻击文法中,每一个漏洞的利用都可以看作是文法中的一个字符;而一个攻击序列可以看作是文法中的一个字符串。攻击文法中的变量描述了一个代表攻击者能力状态的攻击场景。网络攻击的下推自动机模型可以在不损失模型描述能力的前提下转化为攻击文法。本文给出了攻击文法的形式化定义,并且描述了攻击文法生成、简化、以及安全分析的算法。并且为算法的正确性提供了形式化的证明。第三,本文应用攻击文法对入侵检测系统的报警关联进行了研究。攻击文法能够用来进行基于预先定义攻击场景的入侵检测报警关联,并能够分析攻击者的全局性的入侵意图。本文还设计了利用攻击文法进行攻击行为分析的原型系统。原型系统验证了本文提出的方法的可行性和正确性,本文在原型系统基础上进行了性能方面的分析和讨论。

全文目录


摘要  5-7
ABSTRACT  7-12
第一章 绪论  12-16
  1.1 课题的研究背景和意义  12-14
  1.2 本文的主要研究内容和贡献  14-15
  1.3 论文的组织结构  15-16
第二章 攻击检测与攻击图概述  16-25
  2.1 攻击图研究的历史和研究主线  16-18
  2.2 国内外的攻击图研究工作  18-21
  2.3 攻击图的代表性研究  21-23
    2.3.1 场景图  21
    2.3.2 TVA系统  21-22
    2.3.3 NetSPA v2  22-23
    2.3.4 MulVAL  23
  2.4 入侵检测报警关联研究综述  23-25
第三章 网络攻击建模  25-34
  3.1 基本网络攻击模型  25-30
    3.1.1 网络主机模型  25-26
    3.1.2 主机间可达性  26
    3.1.3 漏洞模型  26-29
    3.1.4 主机规约和漏洞规约  29
    3.1.5 攻击者模型  29-30
  3.2 网络建模的自动化  30-33
    3.2.1 主机信息的自动提取  30-31
    3.2.2 漏洞信息的自动提取  31-33
    3.2.3 可达性的自动提取  33
  3.3 本章小结  33-34
第四章 攻击文法  34-54
  4.1 文法与自动机  34-39
    4.1.1 乔姆斯基文法体系  34-35
    4.1.2 下推自动机简介  35-37
    4.1.3 上下文无关文法简介  37-38
    4.1.4 PDA与CFG的等价性  38-39
  4.2 网络攻击的下推自动机模型  39-42
    4.2.1 状态集合S和初始状态  39-40
    4.2.2 输入符号集合Σ  40
    4.2.3 栈顶符号集合Γ  40
    4.2.4 转移函数集合δ  40-41
    4.2.5 攻击PDA构造算法  41-42
  4.3 攻击文法的构造  42-43
  4.4 攻击文法的化简  43-49
    4.4.1 去除ε产生式  43-46
    4.4.2 去除无实际意义的变量  46
    4.4.3 去除非产生的符号  46-47
    4.4.4 去除非可达符号  47-48
    4.4.5 去除无用符号后攻击文法的等价性  48-49
  4.5 攻击文法的分析与应用  49-52
    4.5.1 攻击文法的分析  50-51
    4.5.2 由攻击文法生成攻击图  51-52
  4.6 本章小结  52-54
    4.6.1 模型描述能力  52-53
    4.6.2 算法复杂度  53-54
第五章 攻击文法在IDS报警关联的应用  54-61
  5.1 系统体系结构  54-56
    5.1.1 数据来源  54
    5.1.2 报警预处理  54-55
    5.1.3 报警数据的存储  55-56
    5.1.4 攻击文法知识库  56
    5.1.5 攻击场景的表示  56
  5.2 基于攻击文法的关联算法  56-57
  5.3 关联引擎的设计  57-60
    5.3.1 系统假设  58
    5.3.2 多级关联  58-59
    5.3.3 攻击场景输出和表示  59-60
  5.4 本章小结  60-61
第六章 系统设计与实例分析  61-74
  6.1 攻击文法原型系统的结构和实现  61-65
    6.1.1 原型系统结构图  61-63
    6.1.2 关键数据结构的定义  63-65
  6.2 攻击文法有效性测试  65-70
    6.2.1 网络攻击建模过程  65-67
    6.2.2 网络攻击场景的抽象与建模  67-68
    6.2.3 攻击文法的构造与化简  68-69
    6.2.4 安全分析与讨论  69-70
  6.3 攻击文法工具性能测试  70-73
    6.3.1 初步模拟测试结果  70-71
    6.3.2 攻击图工具性能分析  71-73
  6.4 本章小结  73-74
第七章 结束语  74-76
  7.1 论文主要成果和不足  74
  7.2 未来研究的展望  74-76
参考文献  76-79
攻读硕士学位期间已发表或录用的论文  79-80
致谢  80

相似论文

  1. 面向大规模网络的攻击图生成关键技术,TP393.08
  2. 分布式入侵检测系统的报警关联与分析算法,TP393.08
  3. 网络漏洞评估技术研究,TP393.08
  4. 基于图灵测试的SYN Flood攻击防御研究,TP393.08
  5. 利用界壳理论对网络风险评估的研究及应用,TP393.08
  6. 复杂攻击图的表现与优化技术研究,TP393.08
  7. 分布式网络安全预警研究,TP393.08
  8. DDoS攻击预警关键技术的研究,TP393.08
  9. 基于攻击图的网络脆弱性分析技术研究,TP393.08
  10. 基于攻击图及优化算法的网络安全评估研究与实现,TP393.08
  11. 基于数据挖掘及攻击图的告警综合关联研究,TP311.13
  12. 基于攻击图的IDS警报关联预测技术研究,TP393.08
  13. 基于攻击树和模糊层次分析法的网络攻击决策研究,TP393.08
  14. 计算机网络拓扑结构脆弱性的分析与评估技术研究,TP393.02
  15. 基于弱点关联的主机安全评估系统,TP393.08
  16. 网络安全评估系统中攻击图生成的设计与实现,TP393.08
  17. 面向攻击图构建的网络连通性分析的研究,TP393.08
  18. IMS脆弱性评估方法的研究与实现,TP393.08
  19. 基于攻击模式的攻击图生成技术研究,TP393.08
  20. 网络安全事件发现与关联分析系统,TP393.08

中图分类: > 工业技术 > 自动化技术、计算机技术 > 计算技术、计算机技术 > 计算机的应用 > 计算机网络 > 一般性问题 > 计算机网络安全
© 2012 www.xueweilunwen.com