摘  要： 分析了現(xiàn)有的各種安全事件關(guān)聯(lián)算法,，提出了一種基于狀態(tài)機的攻擊場景重構(gòu)技術(shù),。基于狀態(tài)機的攻擊場景重構(gòu)技術(shù)將聚類分析和因果分析統(tǒng)一起來對安全事件進行關(guān)聯(lián)處理,，為每一種可能發(fā)生的攻擊場景構(gòu)建一個狀態(tài)機,，利用狀態(tài)機來跟蹤、記錄攻擊活動的發(fā)展過程,，以此來提高關(guān)聯(lián)過程的實時性和準(zhǔn)確性,。最后通過DARPA2000入侵場景測試數(shù)據(jù)集對所提出的技術(shù)進行了分析驗證。
關(guān)鍵詞： 入侵場景重構(gòu),；聚類分析,；因果分析；攻擊場景樹,；關(guān)聯(lián)狀態(tài)機

    隨著計算機網(wǎng)絡(luò)的普及和各種網(wǎng)絡(luò)應(yīng)用的不斷深入,，網(wǎng)絡(luò)空間的安全問題變得越來越突出，已經(jīng)成為制約網(wǎng)絡(luò)發(fā)展的主要因素之一[1],。對于一個復(fù)雜的大規(guī)模網(wǎng)絡(luò)而言,，一個簡單的攻擊指令就會觸發(fā)IDS等安全設(shè)備產(chǎn)生數(shù)百乃至上千的安全事件，依靠管理員人工分析這些事件無疑是一種災(zāi)難,。如何從這些零散,、龐雜的安全事件中提取出高層警報，重構(gòu)出入侵場景已經(jīng)成為當(dāng)務(wù)之急,。入侵場景重構(gòu)技術(shù)就是通過對IDS等安全設(shè)備產(chǎn)生的原始安全事件進行關(guān)聯(lián),、分析，還原出攻擊者對整個網(wǎng)絡(luò)空間的攻擊,、滲透過程,，然后將這種高層的場景信息反映給管理員，將其從繁重的事件分析任務(wù)中解放出來,。
    本文通過分析現(xiàn)有的一些關(guān)于安全事件關(guān)聯(lián)分析的研究成果,，提出了一種基于狀態(tài)機的入侵場景重構(gòu)技術(shù)，給出了對應(yīng)的關(guān)聯(lián)算法以及相關(guān)的一些重要概念,，最后通過一個原型系統(tǒng)對所提出的重構(gòu)技術(shù)進行了分析,、驗證。
1 相關(guān)工作
    攻擊活動觸發(fā)的安全事件之間存在兩種關(guān)系,，一種是并行的冗余關(guān)系,，另一種是串行的時序因果關(guān)系，入侵場景重構(gòu)的主要內(nèi)容就是分析各個安全事件之間的這兩種關(guān)系,。
    當(dāng)前對冗余事件的研究主要集中在基于概率的統(tǒng)計分析方面：ALFONSO V[2]首次提出了基于概率聚類技術(shù)的安全事件關(guān)聯(lián)分析方法,，隨后DEBAR H[3]，DAIN O[4-5]等也對其進行了研究?；诟怕示垲惖陌踩录P(guān)聯(lián)分析技術(shù)通過計算各個安全事件的概率相似度,，進而決定新產(chǎn)生的安全事件的聚類歸屬。通常屬于同個聚類的安全事件具有相似的屬性,，通過選擇一個抽象的“元告警”作為該聚類的代表元,，以此來達(dá)到去冗的效果。
    對串行事件的處理主要集中在基于規(guī)則的關(guān)聯(lián)分析方面,。STEVEN C[6]等提出了一種基于專家系統(tǒng)的攻擊場景識別技術(shù),，其主要思想是將攻擊場景描述為一系列的規(guī)則模塊，每個規(guī)則模塊代表著一個攻擊場景,，安全事件報上來之后和規(guī)則模塊進行匹配,。BENJAMIN M和HERVE D提出了一種基于時序模式識別的攻擊場景識別技術(shù)[7],，將網(wǎng)絡(luò)安全事件按照預(yù)定義的時序模型進行關(guān)聯(lián),。在基于規(guī)則的安全事件關(guān)聯(lián)分析方面，具有里程碑意義的無疑是PENG Ning所領(lǐng)導(dǎo)的TIAA項目[8]和ONERA的FREDERIC C所領(lǐng)導(dǎo)的MIRADOR項目[9],。
    現(xiàn)有的安全事件關(guān)聯(lián)分析技術(shù)主要存在以下兩個問題：(1)對安全事件的處理要么是進行概率聚類,，要么是基于因果規(guī)則進行關(guān)聯(lián)分析，很少有研究將兩者結(jié)合起來處理安全事件,。有結(jié)合起來的也是人為地將兩者割裂,，先聚類去冗，然后因果分析,，這樣做的合理性有待考究,。(2)關(guān)聯(lián)分析的實時性差。尤其表現(xiàn)在基于規(guī)則的關(guān)聯(lián)分析方面,，比如TIAA項目,，其通常是設(shè)定一個時間片，一段時間之后去讀取數(shù)據(jù)庫中的安全事件,，然后對其進行計算分析,。其實質(zhì)是一個離線系統(tǒng)，而且如果時間片內(nèi)某一規(guī)則的安全事件有遺漏的話,，其分析效果會大大降低,。
2 基于狀態(tài)機的入侵場景重構(gòu)技術(shù)
    基于狀態(tài)機的入侵場景重構(gòu)技術(shù)將聚類分析和因果分析統(tǒng)一起來，用于對安全事件進行處理,，還原出攻擊者的入侵過程,。同時基于狀態(tài)機的安全事件關(guān)聯(lián)分析是一個在線實時的處理過程，這種工作方式可以極大地提高關(guān)聯(lián)過程的時效性,。
    圖1為入侵場景重構(gòu)系統(tǒng)的結(jié)構(gòu)圖,。整個系統(tǒng)的工作流程如下：首先需要根據(jù)專家知識以及參考范例等構(gòu)建一個靜態(tài)的入侵場景庫，入侵場景庫中包含了各種各樣的攻擊場景,，每一個攻擊場景都是一個樹狀結(jié)構(gòu),，用于匹配產(chǎn)生的安全事件,。有了入侵場景庫之后，預(yù)處理模塊將各個安全設(shè)備產(chǎn)生的事件標(biāo)準(zhǔn)化后提交給關(guān)聯(lián)引擎,，關(guān)聯(lián)引擎按照LRU(最近最少使用)[10]策略在內(nèi)存中維護著一個狀態(tài)機隊列,，隊列中的每一個狀態(tài)機代表著當(dāng)前網(wǎng)絡(luò)空間中正在發(fā)生的一種攻擊場景，這些狀態(tài)機是入侵場景庫中相應(yīng)攻擊場景樹的動態(tài)表現(xiàn),。安全事件到達(dá)之后,，關(guān)聯(lián)引擎將其與狀態(tài)機隊列中各狀態(tài)機的當(dāng)前狀態(tài)匹配，如果與某一狀態(tài)匹配成功,，該狀態(tài)作相應(yīng)處理,，并且將對應(yīng)狀態(tài)機調(diào)換到隊首位置，如果匹配成功的狀態(tài)是狀態(tài)機的葉子節(jié)點,，那么產(chǎn)生一個攻擊場景描述事件,，并且將該狀態(tài)機從隊列中刪除；如果狀態(tài)機隊列中的各狀態(tài)機都沒有可以和安全事件成功匹配的當(dāng)前狀態(tài),，那么關(guān)聯(lián)引擎就會去入侵場景庫尋找可以和其成功匹配的靜態(tài)攻擊場景樹,，找到后生成對應(yīng)的狀態(tài)機，并且將其插入到隊列的隊首位置,，置該狀態(tài)機的當(dāng)前狀態(tài)為根節(jié)點,。后續(xù)安全事件到達(dá)時重復(fù)上述關(guān)聯(lián)過程。生成的攻擊場景描述事件應(yīng)該以友好的顯示方式呈現(xiàn)給管理員,，并且管理員可以手動修改入侵場景庫,，同時系統(tǒng)還應(yīng)該對關(guān)聯(lián)過程中的中間數(shù)據(jù)進行備份。

2.1 入侵場景庫及攻擊場景樹的定義
    定義1：入侵場景庫intrusionScenarioBase是一個集合intrusionScenarioBase={AttackScenario_1,，AttackScenario_2,，…，AttackScenario_i,，…,，AttackScenario_n}，其中的每一個AttackScenario_i是由XML文件定義的攻擊場景樹,。
    入侵場景庫定義了網(wǎng)絡(luò)空間中可能出現(xiàn)的各種各樣的攻擊場景,，如圖2所示，其可以不斷地完善,、豐富,。入侵場景庫是一個預(yù)定義的靜態(tài)結(jié)構(gòu)，其定義來源于專家知識和現(xiàn)有的一些參考范例及管理員的歷史積累,。場景庫中的每一個元素都代表了一種可能的攻擊場景,，對攻擊場景采用XML靜態(tài)文本進行描述。
    定義2：攻擊場景樹AttackScenario_i是對攻擊者入侵過程進行描述的一種樹型結(jié)構(gòu)，通常由XML文檔靜態(tài)定義,。場景樹中的每一個節(jié)點都代表著一個可匹配的規(guī)則,，規(guī)則描述了發(fā)生此步攻擊的事件的特征。父子節(jié)點之間是“與”的關(guān)系,，表示攻擊序列的時序推進,，兄弟節(jié)點之間是“或”的關(guān)系，表示下步攻擊的可選方案,。樹生長的方向就是攻擊不斷深入的過程,。攻擊場景樹的每一個節(jié)點都代表著一條規(guī)則，用于匹配安全設(shè)備產(chǎn)生的事件,。規(guī)則之間有著并行的或者遞進的關(guān)系,。
    以圖2中的拒絕服務(wù)攻擊場景樹為例進行說明：

    (1)攻擊者首先會對目標(biāo)主機進行端口掃描，查看目標(biāo)主機上都有哪些服務(wù)存活,。
    (2)找到存活服務(wù)后,，攻擊者有兩種攻擊方案，一種時直接對目標(biāo)服務(wù)進行Syn洪范攻擊,，致使目標(biāo)進程拒絕服務(wù),。另一種是發(fā)現(xiàn)目標(biāo)主機存在Sadmind服務(wù)漏洞，攻擊者發(fā)起Sadmind緩沖區(qū)溢出攻擊,，獲得目標(biāo)主機的訪問權(quán)限。
    (3)利用獲得的訪問權(quán)限,，攻擊者在目標(biāo)主機上安裝用于進行DDos攻擊的Mstream程序,。
    (4)Mstream主控端和受控端進行交互，準(zhǔn)備進行DDos攻擊,。
    (5)被控的傀儡主機一并對目標(biāo)主機進行拒絕服務(wù)攻擊,。
2.2 關(guān)聯(lián)狀態(tài)機
    定義好各個攻擊場景樹、形成入侵場景庫后,，關(guān)聯(lián)引擎將安全設(shè)備產(chǎn)生的事件實時地和各個攻擊場景進行匹配,，還原出攻擊者的入侵過程。在匹配時,，必須為每一個半匹配的攻擊場景維護一個狀態(tài)機,。
    定義3：關(guān)聯(lián)狀態(tài)機是攻擊場景樹的一個映射，是關(guān)聯(lián)引擎在內(nèi)存中維護的一種樹型動態(tài)結(jié)構(gòu),。每一個狀態(tài)都是一個十五元組state_i=(plugin_id,，plugin_sid,， src_ip,，dst_ip，src_port,，dst_port，protocal,，timeout,，occurrence，srcIP_
record,，dstIP_record,，srcPort_record，dstPort_record,，eventCounter,，startTime)，前面9個屬性定義了該狀態(tài)可以處理的安全事件的特征,，其意義與規(guī)則中相應(yīng)屬性的意義相同,。srcIP_record、dstIP_record,、srcPort_record,、dstPort_record分別用于記錄該狀態(tài)已經(jīng)匹配過的安全事件的特征，eventCounter用于記錄已經(jīng)成功匹配的事件個數(shù),，startTime用于記錄狀態(tài)生效時間,。
    關(guān)聯(lián)狀態(tài)機是一個中間過程，用于實時地跟蹤,、記錄安全事件和攻擊場景的匹配過程,。timeout和occurrence是關(guān)聯(lián)狀態(tài)機的兩個核心屬性。timeout用于指出關(guān)聯(lián)引擎在每一個狀態(tài)的最多觀察時間,，對應(yīng)于攻擊序列中一個攻擊步驟的持續(xù)時間,。occurrence則指出在每一個狀態(tài)可以關(guān)聯(lián)的安全事件個數(shù)，其本質(zhì)是對一個攻擊步驟產(chǎn)生的相同安全事件進行聚類,，體現(xiàn)了歸并的思想,。timeout和occurrence二者是協(xié)同工作的，如果在給定的timeout時限內(nèi)關(guān)聯(lián)引擎成功匹配了occurrence次的安全事件,，那么關(guān)聯(lián)狀態(tài)機就會發(fā)生狀態(tài)遷移,，這也對應(yīng)著攻擊序列的漸進。
    定義4：狀態(tài)機隊列是對當(dāng)前正在發(fā)生的各種攻擊場景的跟蹤,、記錄,，狀態(tài)機隊列中的每一個元素都是一個關(guān)聯(lián)狀態(tài)機，描述對應(yīng)攻擊場景的實時推進過程,。
    以Dos攻擊場景為例說明如何構(gòu)造一個關(guān)聯(lián)狀態(tài)機,。假設(shè)第一個“PortScan”安全事件到來，并且狀態(tài)機隊列l(wèi)ist為空,。此時關(guān)聯(lián)引擎在入侵場景庫中查找哪一個攻擊場景的第一條規(guī)則要求安全事件為“PortScan”類型,，發(fā)現(xiàn)攻擊場景“Dos Attack Scenario”滿足,，此時關(guān)聯(lián)引擎為該攻擊場景在內(nèi)存中建立一個關(guān)聯(lián)狀態(tài)機“Dos”，并且將當(dāng)前狀態(tài)Curr_State設(shè)為根節(jié)點,，如圖3所示,。

    當(dāng)前狀態(tài)為State_1，該狀態(tài)可以處理任何源到目的端口的掃描類事件,，并且對已經(jīng)成功處理過的事件個數(shù)以及這些事件的相關(guān)屬性進行記錄,。如果在5 s內(nèi)成功處理的事件個數(shù)達(dá)到30個，那么就會發(fā)生狀態(tài)遷移,，當(dāng)前狀態(tài)變成State_2和State_3,，如圖4所示。這一遷移過程對應(yīng)著Dos攻擊的第一階段結(jié)束,，攻擊者可能要進行下一階段的攻擊了,。

    需要對當(dāng)前狀態(tài)成功處理過的安全事件的相關(guān)屬性進行記錄。在記錄事件地址時有一個問題：由于一個狀態(tài)可能處理的安全事件不止一個,，而這些安全事件的地址可能相同也可能不同,，那么后續(xù)狀態(tài)對先前狀態(tài)地址引用的時候可能會發(fā)生混亂。為了解決這一問題,，本文對IP地址進行聚析,，其好處是可以突出攻擊的區(qū)域性，可以很直觀地反映出攻擊的源域和目的域,，這在大規(guī)模網(wǎng)絡(luò)中非常有用,。對可能出現(xiàn)的不同端口地址利用數(shù)組全部保存，如圖3的dstPort_record所示,。
2.3 關(guān)聯(lián)算法
    基于狀態(tài)機的入侵場景重構(gòu)系統(tǒng)要求能夠?qū)Π踩O(shè)備產(chǎn)生的事件實時處理,，重構(gòu)出入侵者的滲透過程。下面詳細(xì)介紹基于狀態(tài)機的安全事件關(guān)聯(lián)算法,。
    輸入：狀態(tài)機隊列l(wèi)ist。
    輸出：攻擊場景描述信息ScenarioInfo,；更新后的狀態(tài)機隊列l(wèi)ist,。
    (1)j=eventRead()；  /*讀取預(yù)處理后的實時安全事件,，如果沒有,，產(chǎn)生阻塞*/
    (2)IF(list==null){
          i=0；
          while(i<intrusionScenarioBase.size){
　　         IF(Match(j,，AttackScenario_i.firstRule))  /*在入侵場景庫中尋找和j一致的攻擊場景*/
              break,；
　          i++；
          }
          IF(i=intrusionScenarioBase.size)
             return,；  /*沒有一致攻擊場景,，缺少預(yù)定義的知識*/
          StateMachine=makeStateMachine(AttackScenario_i),；
/*為匹配攻擊場景構(gòu)建狀態(tài)機*/
         StateMachine.CurrentStateSet().add(root)；  /*根節(jié)點為當(dāng)前狀態(tài)*/
         StateMachine.CurrentStateSet().process(j),；  /*所有當(dāng)前狀態(tài)處理事件j,，此時僅僅是根節(jié)點狀態(tài)處理事件j */
         list.addStateMachine(StateMachine)；
       }
    (3)ELSE {
         k=0,；
         while(k<list.size){
           IF(list.getStateMachine(k).CurrentStateSet().process(j)==true){            /*如果狀態(tài)機k可以處理事件j */
           IF(the states processing j are leaf nodes of StateMachine_k){  /*如果能夠處理j的狀態(tài)是狀態(tài)機的葉子節(jié)點*/
　　　　　　　      ScenarioInfo=generateAttackScenarioInfo(list.getStateMachine(k)),；            /*生成攻擊場景描述信息*/
　　　　　　　      delete the leaf states from StateMachine_k.CurrentStateSet()；  /*從當(dāng)前狀態(tài)集刪除已產(chǎn)生過場景描述信息的葉節(jié)點狀態(tài)*/
               }
　    　　　　toTheFirstStateMachine(list.getStateMachine(k)),；  /*按照LRU策略將其置換到list的隊首位置*/    
　　　　    　break,；
　　       　　}
　　　       　k++；
        }
        IF(k==list.size){
           go to intrusionScenarioBase and do the same thing as list==null except that add the new StateMathine to the head of the list,；
         }
       }
    (4)goto (1),；
    在關(guān)聯(lián)算法中需要特別注意的是：每一個狀態(tài)機的當(dāng)前狀態(tài)可能不止一個。如在圖3中State_2和State_3合起來構(gòu)成了當(dāng)前狀態(tài)集CurrentStateSet,。對安全事件處理的時候,，CurrentStateSet中的每一個狀態(tài)都會參與，如果能成功處理事件,，其計數(shù)器加1,；如不能，則不做任何動作,。如果安全事件和某一狀態(tài)機當(dāng)前狀態(tài)集中的若干狀態(tài)匹配成功,，并且這些匹配成功的狀態(tài)中有k個狀態(tài)是該狀態(tài)機的葉子節(jié)點，則調(diào)用函數(shù)generateAttackScenarioInfo()生成k個攻擊場景描述信息,，每一個攻擊場景描述信息詳細(xì)記錄了從該狀態(tài)機的根節(jié)點到相應(yīng)葉節(jié)點的狀態(tài)變遷路徑以及沿途狀態(tài)的屬性信息,，隨后將這k個葉子狀態(tài)從該狀態(tài)機的當(dāng)前狀態(tài)集CurrentStateSet中刪除。狀態(tài)機隊列中的各個狀態(tài)機按照LRU策略維護,，也就是說如果某一個狀態(tài)機的當(dāng)前狀態(tài)集剛成功處理了實時產(chǎn)生的安全事件j,，則將該狀態(tài)機置換到隊首位置，這樣做的目的是為了增強關(guān)聯(lián)的實時性,。因為根據(jù)臨近原則,，下一安全事件和該狀態(tài)機成功匹配的可能性最大。
    為了實時地維護狀態(tài)機隊列l(wèi)ist,，必須還有一個單獨線程負(fù)責(zé)監(jiān)控它,，不斷查看隊列中各個狀態(tài)機的當(dāng)前狀態(tài)，如果在timeout時限內(nèi)成功處理的事件個數(shù)eventCounter等于occurrence,，則發(fā)生狀態(tài)遷移,，并且更新對應(yīng)狀態(tài)機的當(dāng)前狀態(tài)組CurrentStateSet，如果在timeout時限臨界時eventCounter仍小于occurrence,，表示該狀態(tài)超時,，將其從對應(yīng)狀態(tài)機的當(dāng)前狀態(tài)組CurrentStateSet中刪除,。如果某一狀態(tài)機的當(dāng)前狀態(tài)集CurrentStateSet為空，則將其從list中刪除,。
3 實驗分析
    本文實現(xiàn)了一個原型系統(tǒng),，對所提出的入侵場景重構(gòu)技術(shù)進行了分析、驗證,。通過在網(wǎng)絡(luò)中回放DARPA2000入侵場景評測數(shù)據(jù)集[11]對系統(tǒng)進行測試,，DARPA2000數(shù)據(jù)集是DARPA資助MIT林肯實驗室構(gòu)造的入侵場景關(guān)聯(lián)評測數(shù)據(jù)集，其被廣泛地應(yīng)用于驗證各種安全事件關(guān)聯(lián)算法的有效性[8,，12],。
    實驗中針對DDos攻擊定義兩種場景樹，一種就是圖2中的Dos Attack Scenario,，另一種是對每步攻擊都定義一個場景樹,，通過這兩種方式來驗證所提出的基于狀態(tài)機的入侵場景重構(gòu)技術(shù)。
    (1)單步攻擊場景檢測,。林肯實驗室給出的DARPA2000數(shù)據(jù)集總共有649 787個數(shù)據(jù)包,，實驗對其進行分割，分別得到5個攻擊步驟各自對應(yīng)的測試數(shù)據(jù)集,。以第二階段的緩沖區(qū)溢出獲取目標(biāo)主機權(quán)限攻擊為例進行測試,。經(jīng)過分割后得到該階段的數(shù)據(jù)集總共有12 515個數(shù)據(jù)包，利用TCP-replay工具在網(wǎng)絡(luò)中回放該數(shù)據(jù)集,，以Snort,、Snare和Ossec為主要底層安全設(shè)備監(jiān)控網(wǎng)絡(luò)空間，產(chǎn)生原始安全事件,。實驗從2010-1-4 14:08:45開始,，到14:13:50時整個回放過程結(jié)束，關(guān)聯(lián)引擎對上報上來的原始安全事件進行實時分析處理,，最終產(chǎn)生圖5所示的攻擊場景描述信息,。

    經(jīng)過分析發(fā)現(xiàn)：Snort等安全設(shè)備總共產(chǎn)生了89個原始安全事件，關(guān)聯(lián)引擎對這些事件分析處理后產(chǎn)生了10個攻擊場景描述信息,，去冗率達(dá)到了88.76％,，關(guān)聯(lián)效率高；回放過程開始于2010-1-4 14:08:45,，在2010-01-04 14:10:13時產(chǎn)生了第一個場景描述信息，響應(yīng)延遲不到2 min,，關(guān)聯(lián)實時性強,；攻擊場景描述信息中包含了攻擊的名稱，攻擊發(fā)生的時間,、地點,，攻擊危害的簡單評估值等管理員所關(guān)心的安全屬性,，關(guān)聯(lián)信息豐富。
    (2)五步攻擊場景完整檢測,。對于完整的五步攻擊,，整個數(shù)據(jù)包的回放過程要持續(xù)3 h 15 min左右，因此,，Dos Attack Scenario場景樹中各個節(jié)點的timeout屬性需要經(jīng)過仔細(xì)推敲才能確定,。實驗從2010-1-4 15:10:00開始回放整個數(shù)據(jù)包，到2010-1-4 18:24:13左右整個回放過程結(jié)束,。最終關(guān)聯(lián)引擎給出了圖6所示的Dos攻擊場景描述信息,。

    分析圖6發(fā)現(xiàn)，關(guān)聯(lián)引擎給出的攻擊場景描述信息較完整地記錄了入侵者對網(wǎng)絡(luò)空間的滲透過程,。攻擊者202.77.162.213在2010-1-4 16:03:00左右開始了對目標(biāo)主機131.84.1.31的攻擊過程,，整個DDos攻擊過程持續(xù)了大概1 h 20 min，中間用到了傀儡主機172.16.112.10,，
172.16.115.20和172.16.112.50,。DDos攻擊的威脅值達(dá)到了9(最高為10)，攻擊場景圖如圖7所示,。   

     本文提出了一種基于狀態(tài)機的入侵場景重構(gòu)技術(shù),，將聚類分析和因果分析統(tǒng)一起來對安全事件進行關(guān)聯(lián)分析，還原出攻擊者對網(wǎng)絡(luò)空間的滲透過程,，將管理員從瑣碎的事件分析任務(wù)中解放出來,。實驗表明，基于狀態(tài)機的入侵場景重構(gòu)技術(shù)在實際的工作中是有效可行的,。下一步工作是繼續(xù)豐富入侵場景庫,，并且開發(fā)出用戶界面，將關(guān)聯(lián)結(jié)果更友好地呈現(xiàn)給管理員,。
參考文獻(xiàn)
[1] EOM Jung-ho,， HAN Young-Ju， PARK Seon-Ho. Active cyber attack model for network system’s vulnerability assessment[C]. 2008 International Conference on Information Science and Security,， 2008.
[2] ALFONSO V,， KEITH S. Probabilistic Alert Correlation[C]. Proc. of the 4th International Symposium on Recent Advances in Intrusion Detection. Springer-Verlag， 2001.
[3] DEBAR H,， WESPI A. Aggregation and correlation of intrusion detection alerts[C]. Proceeding of the 4th International Symposium on Recent Advances in Intrusion Detection(RAID). 2001.
[4] DAIM O,， CUNNINGHAM R K. Building Scenarios from a heterogeneous alert stream[C]. Proceeding of the IEEE SMC Information Assurance Workshop. NY， 2001.
[5] DAIN O,， CUNNINGHAM R K. Fusing a heteorgeneous alert stream into scenarios[A]. Proceedings of the 2001 ACM Workshop on Data Mining for Security Applications[C],， 2001:1-13.
[6] STEVEN C， ULF L,， MARTIN F. Modeling multistep cyber attacks for scenario recognition[C]. Proc of Third DARPA Information Survivability Conference and Exposition. Washington,， 2003.
[7] BENJAMIN M,， HERVE D. Correlation of intrusion symptoms: an application of chronicles[C]. Proc. of the 6th International Symposium on Recent Advances in Intrusion Detection， Pittsburgh,， PA. USA: Springer-Verleg,， 2003.
[8] NING P， CUI Y. Techniques and tools for analyzing intrusion alerts[J]. ACM Transactions on Information and System Security,， 2004,，7(2):274-318.
[9] FREDERIC C， ALEXANDRE M. Alert Correlation in a Cooperative Intrusion Detection Framework[C]. Proc. of IEEE Symposium on Security and Privacy,， Oakland,，   California， USA,， 2002.
[10] 湯小丹.計算機操作系統(tǒng)(第三版)[M].西安:西安電子科技大學(xué)出版社,，2007.
[11]  2000 DARPA Intrusion Scenario Specific Data Sets[OL]. [2008-01-24]. http://www.ll.mit.edu/IST/ideval/data/2000/2000_data_index.html.
[12]  韋勇，連一峰,，馮登國.基于信息融合的網(wǎng)絡(luò)安全態(tài)勢評估模型[J].計算機研究與發(fā)展,，2009，46(3)：353－362.