一種面向網絡行為因果關聯的攻擊檢測方法

摘要：為了能在攻擊目標受損之前檢測到攻擊事件，提出了面向網絡行為因果關聯的攻擊檢測方法。該方法基于SNMP管理信息庫數據，根據攻擊目標的異常行為，首先利用Granger因果關聯檢驗(GCT)從檢測變量中挖掘出與異常變量存在整體行為關聯的基本攻擊變量，然后針對異常行為特征再次利用GCT從基本攻擊變量中挖掘出與異常變量存在局部行為關聯的攻擊變量，最后根據攻擊變量和異常變量之間的因果關系，構建面向攻擊方檢測的攻擊關聯規則。在Trin00 UDPFlood檢測實驗中，所提方法成功挖掘出攻擊變量udpOutDatagram，取得了滿意的檢測效果。實驗結果表明，該方法能夠在攻擊方檢測到攻擊事件，為及時阻止攻擊過程向攻擊目標進一步擴散提供預警。

關鍵詞：網絡行為；攻擊檢測；因果關聯；管理信息庫

中圖分類號：TP309 文獻標志碼：A文章編號：0253—987X(2008)08—0931—05