[发明专利]基于隐马尔可夫模型的网络入侵场景构建方法无效
| 申请号: | 200910021382.5 | 申请日: | 2009-03-05 |
| 公开(公告)号: | CN101494535A | 公开(公告)日: | 2009-07-29 |
| 发明(设计)人: | 范九伦;王琢 | 申请(专利权)人: | 范九伦 |
| 主分类号: | H04L9/00 | 分类号: | H04L9/00;H04L29/06 |
| 代理公司: | 西安文盛专利代理有限公司 | 代理人: | 彭冬英 |
| 地址: | 710061陕西省西安市长*** | 国省代码: | 陕西;61 |
| 权利要求书: | 查看更多 | 说明书: | 查看更多 |
| 摘要: | |||
| 搜索关键词: | 基于 隐马尔可夫 模型 网络 入侵 场景 构建 方法 | ||
技术领域
本发明涉及一种基于隐马尔可夫模型的网络攻击场景构建方法,包括报警数据的预处理、报警数据的关联分析和入侵场景构建三个完整的阶段。
背景技术
通过对入侵报警进行关联分析,进而构建入侵场景是入侵检测技术发展的一个新方向,从2000年左右开始在入侵检测技术领域受到关注。目前已提出了大量的分析方法,主要可以分为报警聚类方法和关联分析方法,其中关联分析方法又可以分为基于攻击规划库的报警关联方法和基于攻击行为建模的报警关联方法两类。
报警聚类(clustering)方法属于最初级的关联分析,通过报警属性值之间的相似性对报警进行聚类,使得属于同一聚类的报警具有相同的特性,然后选择一个抽象的“元报警”事件作为该聚类的代表元。在已有技术中,《通信学报》2005年4期提供了一种BPCRISM模型,按照报警信息各个属性的数据类型将其分为布尔型、枚举型和数值型,通过计算欧氏距离得到属性之间的差异度。计算报警alerti和aleerj的上述三个属性的差异度公式为;
其中detectTime、srcPort和dstPort分别对应于原始报警的时间戳、源端口号和目的端口号。wdetectTime、wsrcPort和wdstPort分别为各属性在差异度计算中的权重,由专家经验给出。
此类方法存在的问题是:
不能够完全揭示出相关报警之间的因果关系,无法对报警反映的高层攻击策略给出清晰的解释,也无法预测攻击者的目的和可能的后续攻击。
该专利技术资料仅供研究查看技术是否侵权等信息,商用须获得专利权人授权。该专利全部权利属于范九伦,未经范九伦许可,擅自商用是侵权行为。如果您想购买此专利、获得商业授权和技术合作,请联系【客服】
本文链接:http://www.vipzhuanli.com/pat/books/200910021382.5/2.html,转载请声明来源钻瓜专利网。
