姓名 官炳宏(Ping-Hung Kwan) 畢業系所 資訊管理學系
論文名稱 結合隱藏式馬可夫模型與彩色派翠網以關聯多步驟攻擊警訊之方法
摘要(中) 近年來入侵偵測系統的發展已從著重於提高警訊之效率、正確率,漸漸地轉移到將警訊關聯,以提供更全面的攻擊概觀。換句話說,如何將低階警訊資料關聯成為對資訊安全管理人員有用的資訊及知識,已成為目前網路安全研究的重點之一。而本篇論文主要就是以隱藏式馬可夫模型(Hidden Markov Model, HMM)及彩色派翠網(Colored Petri Net, CPN)為理論基礎,發展出一套能將CPN圖形上的place與transition的關係轉換成HMM狀態轉換圖上的狀態以及觀察值之方法,轉換結果包含狀態的初始機率、狀態與狀態之間的轉換機率以及狀態與觀察值之間的符號產生機率。如此一來便能在警訊的關聯上充份的結合HMM與CPN的優點。此外,我們也針對HMM於警訊之處理上並沒有考慮到警訊間AND與OR的邏輯關係提出一個改善的模型,以便能適合於多步驟攻擊之警訊關聯上,我們將此改善後的HMM稱之為調適性隱藏式馬可夫模型(Adaptive HMM, AHMM)。我們也成功的根據這些想法開發出一套警訊關聯系統,並在最後的實驗中,透過DARPA 2000資料集以及我們自行蒐集的一些警訊資料來證明我們的系統確實可以成功的找出警訊堆當中的多步驟攻擊行為,也可以做到預測攻擊,以及有效的降低傳統HMM所會帶來的高誤判率與漏判率問題。
關鍵字(中) ★ 多步驟攻擊
★ 預測攻擊
★ 隱藏式馬可夫模型
★ 彩色派翠網
★ 警訊關聯
關鍵字(英) ★ HMM
論文目次 目錄 I
圖目錄 III
表目錄 V
第一章 緒論 1
第一節 研究背景 1
第二節 研究動機與目的 4
第三節 研究方法與主要成果 5
第四節 章節架構 6
第二章 相關研究 7
第一節 多步驟攻擊案例 8
第二節 隱藏式馬可夫模型分類器 12
第三節 隱藏式彩色派翠網 15
第四節 綜合比較 17
第三章 採用HMM與CPN重建多步驟攻擊 19
第一節 隱藏式馬可夫模型(HMM)簡介 19
3.1.1 Forward演算法介紹 21
3.1.2 Viterbi演算法介紹 22
第二節 CPN簡介 23
第三節 為何採用HMM及CPN 24
第四節 多步驟攻擊轉換為HMM狀態轉換圖之說明 26
第五節 調適性隱藏式馬可夫模型概念 28
第四章 系統設計與實作 32
第一節 系統架構 32
第二節 系統實作 34
4.2.1 開發環境及工具介紹 34
4.2.2 HMM Generator Module模組實作 35
4.2.3 Adaptive HMM Module模組實作 37
第五章 實驗分析 40
第一節 HMM模型的建立 40
5.1.1 HMM模型一 - Sadmind Exploit for a DDoS Attack 40
5.1.2 HMM模型二 - FTP Bounce Attack 42
5.1.3 HMM模型三 - Worm Sasser A 44
5.1.4 HMM模型四 - Worm Sasser C 46
5.1.5 HMM模型五 - Slammer Worm 48
第二節 Adaptive HMM與HMM之效用實驗比較 49
第三節 預測攻擊 57
第四節 Sadmind攻擊之實驗分析比較 62
第五節 敏感度分析 65
第六章 結論 69
第一節 研究結論 69
第二節 研究貢獻 69
第三節 未來研究方向 70
參考文獻 72
中文參考文獻 72
英文參考文獻 72
相關網站 75
附錄A HMM模型之訓練方法 76
指導教授 陳奕明(Yi-Ming Chen) 審核日期 2005-7-7
