一种面向检测网络攻击分类器设计与实现.doc

一种面向检测网络攻击分类器设计与实现 　　摘要：对网络攻击进行分类，可以使攻击检测系统化，有助于构造高效的检测方法，从而改善IDS的性能。该文提出一种以协议分析为基础、利用IDS可直接收集的数据、面向检测的攻击分类方法。进而据此分类构造相应的检测方法，并设计开发了一种网络攻击分类器。 　　关键词:入侵检测系统；面向检测的攻击分类；检测方法 　　中图分类号：TP393文献标识码：A文章编号：1009-3044(2012)06-1266-05 　　A Detection-Oriented Attack Classifier’s Design and Realization 　　GE Wu-dian, QIAO Zheng-hong, XU Jie 　　（Institue of Science, PLA Univ. of Sci. Tech., Nanjing 211101,China） 　　Abstract：Attack classification helps to build efficient and realtime intrusion detection method. In this paper, a detection-oriented attack classification method, based on protocol analysis and data that IDS can collect directly, is proposed.Then corresponding detection method is given,and a network attack classification is designed. 　　Key words: intrusion detection system(IDS); detection-oriented attack classification; detection method 　　攻击分类可用于攻击分析、事件报告、统计分析等，对于系统地进行攻击检测也有十分重要的意义，有助于构造高效的检测方法，从而有效地改善IDS的性能。最早的攻击分类方法有，根据安全漏洞产生角度分类、以攻击技术手段分类、结合攻击使用的技术和攻击后果分类、攻击实施操作的顺序分类等，这些攻击分类的方法对于理解攻击所利用的计算机系统漏洞、攻击技术方法以及提高入侵检测的效率等方面大有帮助，但是这些分类的方法都不能直接用于对攻击进行检测。 　　实际上在检测攻击时，往往并不需要了解攻击所利用的漏洞、攻击的手段等，而是需要一些面向检测的特征。利用审计记录数据、网络协议等进行的分类，可以直接面向检测，但其分类的依据不是IDS可直接收集的数据。如果以IDS直接收集的数据为分类依据，可以提高分类检测的精度和效率。 　　本文认为，面向检测的攻击分类方法比较适合于IDS的要求，而且以IDS可直接收集的数据为分类的基础，可用性好，有助于提高检测的精度和效率。根据这种思路，本文提出一种以协议分析为基础、直接利???IDS收集的数据、面向检测的攻击分类方法。 　　 1基于IDS数据源的面向检测攻击分类 　　 1.1分类描述 　　入侵检测有两个基本前提：一是所有的系统活动都可以通过检测系统来得到：二是合法行为和入侵行为是可以区分的。下面我们提出一种以协议分析为基础的、面向检测的网络攻击分类方法。 　　网络通信协议是一个高度格式化的、具有明确含义和取值的数据流，数据包内的信息必须遵守TCP/IP协议规范。所有的网络活动可以用下面的三元组进行描述：H = ，其中：H表示所有的网络活动，N表示网络层活动，T表示传输层活动，A表示应用层活动。 　　所有的网络攻击事件可以用下面的三元组进行描述：H’= ，其中：H’表示所有的网络攻击事件，N’表示网络层攻击事件，T’表示传输层攻击事件，A’表示应用层攻击事件。 　　在网络攻击事件的描述中，各个元素均是可测的，所以用上述的三元组描述的网络攻击事件都是可检测的。三个元素之间是相互独立的，从低层数据检测出的攻击，不在高层数据中进行检测，并且此类攻击事件被归类到低层类别中。根据这种描述，我们从面向检测的角度出发，把网络攻击分为以下三类： 　　网络层攻击事件类（简称N’类）：网络层数据中某些属性取值的出现表示特定入侵的发生。其中N’=（n’1, n’2, n’3,…n’i），n’i表示网络层攻击事件类中的第i个实例。 　　②传输层攻击事件类（简称T’类）：传输层数据中某些属性取值的出现表示特定入侵的发生。其中T’=（t’1, t’2, t’3,…t’i），t’i表示传输层攻击事件类中的第i个实例。 　　③应用层攻击事件类（简称A’类）：应用层数