基于蜜网的攻击行为分析
发布时间:2019-07-16 08:51
【摘要】:蜜网在短时间内会产生大量原始告警,产生的原始告警中包含大量误报、漏报和冗余告警,而且原始告警语义级别低,告警间相互独立,不能提供给用户直观有效的信息。如何对蜜网内捕获到的数据进行分析,分析出攻击者攻击行为是蜜网技术研究中的难点之一。 攻击图不仅能识别相应特定目标网络中的脆弱性,而且能识别脆弱性之间的关联关系,从攻击者的角度以图形化的形式模拟一个系统可能受到的所有攻击路径,能够有效弥补传统告警分析中的不足,适用于描述多步骤的网络攻击。 1)本文研究了攻击图技术,提出将攻击图应用于蜜网攻击行为分析研究,弥补传统告警分析没有结合具体网络环境的不足。 2)本文研究了聚类分析算法,对算法进行改进,将其应用于告警关联分析,对告警进行划分。 3)本文研究了攻击图编码序列生成方法,提出了基于AG DFS编码的攻击图序列生成方法。该方法改进了基于无向图的DFS编码,使其适用于有向的攻击图。 在以上研究的基础上,本文提出了基于蜜网的攻击行为分析模型。该模型分为两个阶段,在离线攻击图编码序列生成阶段,通过建立攻击图知识库,对已知攻击图进行编码,为告警的关联分析做准备。在线告警关联阶段,对告警进行预处理等细化操作,结合网络信息和拓扑信息进行攻击图编码序列的告警深度关联。 本文设计并实现了基于攻击图的攻击行为分析系统,并搭建了蜜网实验环境,实验结果显示该系统能有效的捕获告警信息并对告警进行基于攻击场景的关联分析,验证了系统的可行性。
文内图片:
图片说明: .1攻击图技术攻T丨丨阁技术足一种站干模型的分析研究技术,"J■用于研究网络的脆弱性分阁可以抽象的表示为一个…多个节点}D成,各个节点按照一 的连接规则而成的有向阁,其能隐性地展示攻m者利)IU丨标网络中存在的脆弱性等信H标网络进行攻1丨丨的全部可能的攻击行为及其过程111]0,研究人员对阁技术的研究重点在十丨彳标模型构建研究、攻lU阁构建研究和攻ijf阁分析研暠2-1所示。
文内图片:
图片说明: 图2-2状态攻击图在丨到2-2巾,悔-个椭圆表示一个节点,虚线椭圆表示初始状态)y点,实线椭\∫詌a /?攻1丨丨的名称来命名,jij于表示说子攻:山-攻ii?成功iTi?的企W状态。在攻lit阁的数掘结构十,状态攻iU暎足一种十分Yj■效的农现形式,,它以沾式的方式展
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
本文编号:2514976
文内图片:
图片说明: .1攻击图技术攻T丨丨阁技术足一种站干模型的分析研究技术,"J■用于研究网络的脆弱性分阁可以抽象的表示为一个…多个节点}D成,各个节点按照一 的连接规则而成的有向阁,其能隐性地展示攻m者利)IU丨标网络中存在的脆弱性等信H标网络进行攻1丨丨的全部可能的攻击行为及其过程111]0,研究人员对阁技术的研究重点在十丨彳标模型构建研究、攻lU阁构建研究和攻ijf阁分析研暠2-1所示。
文内图片:
图片说明: 图2-2状态攻击图在丨到2-2巾,悔-个椭圆表示一个节点,虚线椭圆表示初始状态)y点,实线椭\∫詌a /?攻1丨丨的名称来命名,jij于表示说子攻:山-攻ii?成功iTi?的企W状态。在攻lit阁的数掘结构十,状态攻iU暎足一种十分Yj■效的农现形式,,它以沾式的方式展
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【参考文献】
相关期刊论文 前3条
1 陈锋;毛捍东;张维明;雷长海;;攻击图技术研究进展[J];计算机科学;2011年11期
2 宋美娜;金远平;;一个基于DFS编码的图形匹配算法[J];计算机与数字工程;2009年09期
3 孙吉贵;刘杰;赵连宇;;聚类算法研究[J];软件学报;2008年01期
相关博士学位论文 前1条
1 陈锋;基于多目标攻击图的层次化网络安全风险评估方法研究[D];国防科学技术大学;2009年
本文编号:2514976
本文链接:https://www.wllwen.com/guanlilunwen/ydhl/2514976.html
