基于協(xié)議的安全聯(lián)動行為分析與檢測技術研究.pdf

1、網(wǎng)絡安全聯(lián)動技術的提出體現(xiàn)了協(xié)同防御、主動動態(tài)防御和智能化安全管理的潮流。隨著安全聯(lián)動技術的發(fā)展，越來越多的安全聯(lián)動機制被應用和部署在實際網(wǎng)絡中，安全聯(lián)動機制自身的安全問題也顯得越來越重要。安全聯(lián)動機制作為安全協(xié)同防御的關鍵環(huán)節(jié)，已成為一些不法分子攻擊的主要目標。因此，本文立足于安全聯(lián)動技術的特點，著重于安全聯(lián)動行為的分析與檢測技術研究，以達到安全聯(lián)動行為運行狀況可掌握、異常行為可發(fā)現(xiàn)的目的，保障安全聯(lián)動機制的正常運行。
　　目前

2、，通用的應用層行為分析與檢測技術沒有結合安全聯(lián)動行為的特點，缺乏對安全聯(lián)動行為的準確理解與描述，難以對安全聯(lián)動行為進行細粒度地分析與檢測。為實現(xiàn)安全聯(lián)動行為的分析與檢測，本文從安全聯(lián)動協(xié)議識別、安全聯(lián)動行為識別和安全聯(lián)動行為異常檢測三個方面進行了深入地研究，主要工作如下：
　　1．為了實現(xiàn)安全聯(lián)動協(xié)議的識別，針對安全聯(lián)動協(xié)議的特點，提出了一種基于特征描述和改進決策樹的安全聯(lián)動協(xié)議識別方法。為使安全聯(lián)動協(xié)議特征的提取與存儲更加規(guī)范，

3、基于包頭字段和負載特征對協(xié)議特征進行統(tǒng)一描述，并構建了安全聯(lián)動協(xié)議特征庫；為提高識別的效率，對決策樹算法進行改進與優(yōu)化，研究了基于改進決策樹構建和分層決策樹搜索算法的安全聯(lián)動協(xié)議識別技術。實驗表明，該方法具有較高的準確性和執(zhí)行效率。
　　2．針對安全聯(lián)動行為的細粒度識別問題，基于消息序列圖的思想，提出了一種安全聯(lián)動行為模式構建與識別方法。為直觀簡潔地描述安全聯(lián)動行為的交互過程，基于消息序列圖的思想，設計了協(xié)議消息序列挖掘算法，構建

4、出協(xié)議消息序列圖以表示安全聯(lián)動行為模式；利用消息相似性度量函數(shù)對單個協(xié)議消息進行比對，設計了協(xié)議消息序列匹配算法，實現(xiàn)了安全聯(lián)動行為的識別。實驗表明，該方法構建出的安全聯(lián)動行為模式直觀準確，安全聯(lián)動行為識別算法具有較高的準確性。
　　3．針對安全聯(lián)動行為中存在的異常情形，提出了一種基于規(guī)則的安全聯(lián)動行為異常檢測方法。從異常的角度進行分析與考慮，針對安全聯(lián)動行為在交互過程中存在的異常情形，綜合利用基于協(xié)議交互過程模型和基于交互行為統(tǒng)