一種IPS上的NEL規(guī)則自動生成算法模型的研究與實現(xiàn).pdf

1、能夠讓機器自主的發(fā)現(xiàn)病毒、木馬，并實現(xiàn)自身免疫，是計算機誕生以來人類的一個夢想。入侵防御系統(tǒng)(IPS)的研究目的在于實現(xiàn)計算機本身對病毒、木馬的免疫反應(yīng)，而NEL規(guī)則自動生成系統(tǒng)則進(jìn)一步加強了入侵防御系統(tǒng)的智能化，其技術(shù)意義和社會意義都是十分深遠(yuǎn)的。 然而由于互聯(lián)網(wǎng)信息的海量性和無規(guī)律性，正常數(shù)據(jù)和攻擊在傳輸格式上都是二進(jìn)制串，在傳輸方式上也沒有根本的區(qū)別。直至今天對非法攻擊自動識別的研究仍面臨著巨大的困難。除了非法攻擊本身隨著

2、網(wǎng)絡(luò)安全技術(shù)的提高而更加隱蔽外，非法攻擊的種類也更加紛繁多樣，各類變種層出不窮。對非法攻擊的具體化定義本身就存在十分巨大的困難。 本文所描述的模型是NetEye IPS上的子系統(tǒng)，用于分析Web服務(wù)器的日志并自動形成規(guī)則保護(hù)之。和以往的規(guī)則不同的是，該模型形成的規(guī)則通過NEL 編譯器能夠快速的編譯到IPS庫中，對待保護(hù)的Web服務(wù)器具有實時的保護(hù)能力。該子系統(tǒng)的工作是提取Web服務(wù)器日志文件上的GET 請求記錄進(jìn)行學(xué)習(xí)，并根據(jù)設(shè)

3、計的算法對信息進(jìn)行選取、分類，統(tǒng)計。最終以粗略規(guī)則的形式呈現(xiàn)給管理員，管理員將規(guī)則轉(zhuǎn)換并編譯成NEL 格式的文件，從而形成最終的NEL 規(guī)則提交給IPS規(guī)則庫。 本文以經(jīng)常作為攻擊發(fā)動方式的，并且未經(jīng)過處理的統(tǒng)一資源定位符中的參數(shù)串作為數(shù)據(jù)模型。原因是通過統(tǒng)一資源定位符中的參數(shù)串完成的攻擊在所有的Web攻擊中占有相當(dāng)大的比重，目前來說，還沒有一種有效的機制來檢測黑客自主構(gòu)造參數(shù)來發(fā)動對Web服務(wù)器的攻擊。因此，本文在綜合網(wǎng)絡(luò)安