该文主要创新工作如下:1、扩展攻击树模型、提出攻击树生成算法——ATG算法,进而给出攻击模式自动生成方法.攻击模型是决定IDS检测率和误报率的重要因素.为获得合理有效的攻击模型,该文将攻击模型化理论用于IDS攻击模型的建立,从面向检测、添加时序关系、给结点添加属性等几个方面进行扩展,扩展攻击树模型,目的是使攻击模型能够准确、全面地描述攻击,并能够重用、共享.进而提出攻击树生成算法,使得模型可以自动产生.为验证模型和算法的有效性,分别以KDD-99数据和攻击模拟平台收集的数据进行实验,实验结果表明,模型和算法是有效的,此外,模型还具有可重用、自动生成等优点.2、提出基于多源数据的攻击树模型,及相应的攻击树生成算法——MATG算法.在一对一攻击基础上,进一步研究多对一、多对多等复杂、多层次的攻击类型,将攻击模型化理论与信息融合技术相结合,进一步提出基于多源数据的攻击树模型,以描述复杂、多层次攻击.综合考虑来自攻击不同拓扑结点、不同类型的数据源,更为准确、全面地反映多层次、复杂攻击的特征,提高检测能力以及检测精度.提出的模型生成算法能自动生成基于多源数据的攻击树模型.模型及算法均经过实验验证,与单源数据检测相比,多源攻击树模型在检测率和检测精确度方面具有明显优势.3、提出一种面向检测的攻击分类方法——DetectClass方法、基于该方法的攻击树模型分类建立算法及分类检测机制.对攻击进行合理分类,研究不同类别之间的关系,并将DetectClass攻击分类方法与攻击树模型有机结合,提出基于DetectClass方法的攻击树生成算法,便于模型的分类建立,并构造分类检测机制.目的是提高检测的覆盖率、响应时间和精度.其中,对DetectClass方法进行形式化的描述与证明.4、提出子树组合生成新树算法和正常行为模型训练框架,以改善IDS异常检测能力.异常检测一直是IDS的难点.其关键是要建立合理有效的正常行为模型,该文认为,自适应性和可扩展性是异常检测能力的重要属性.该文提出子树组合生成新树算法,从已有的攻击树模型中,提取新的、合理的攻击模型,从而增强异常检测能力.另外,提出正常行为模型训练框架,可以在具体的应用环境中,自适应地建立正常行为模型,以提高模型的精确性和针对性,并具有可扩展性.最后,将该文所提出的模型、算法和方法集成,设计实现原型系统ATNIDS(Network Intrusion Detection System based on Attack Tree Model),该系统作为可扩展入侵检测系统框架的一部分.该系统主要包括攻击模拟平台、攻击模式自动生成模块、正常行为训练模块、分布式Sensor子系统、中心控制分析模块五个部分.
暂无评论