18、基于时间模块的主机快速攻击检测方法

基于时间模块的主机快速攻击检测方法

1. 引言

过去十年，有线和无线网络发生了巨大变革，这也改变了攻击网络基础设施的机制。互联网上免费攻击工具的出现，让新手攻击者只需少量知识就能发起复杂攻击。网络安全事件的增长与互联网的发展大致平行，因此保护易受攻击的机器至关重要。入侵检测系统（IDS）是网络安全基础设施的重要组成部分，它能降低组织内安全漏洞发生的可能性，保护组织资产的机密性、完整性和可用性。

在开发 IDS 之前，了解攻击的结构很重要。攻击可分为五个阶段：侦察、扫描、获取访问权限、维持访问权限和清除痕迹。前两个阶段可分为快速攻击和慢速攻击。快速攻击指在几秒内使用大量数据包或连接的攻击，慢速攻击则需要几分钟或几小时完成。检测快速攻击有助于防止网络早期攻击，减少后续攻击的可能性。然而，快速攻击检测技术需要合适的阈值机制来提高检测准确性，选择合适的阈值仍是 IDS 开发者面临的主要问题。

为应对这一挑战，本文聚焦于基于一秒时间间隔选择阈值机制来检测快速攻击，这有助于减少 IDS 产生的误报，提高检测准确性。

2. 相关工作

入侵检测可分为主机型、网络型和混合型三种。其主要目标都是检测入侵，检测方法可分为异常检测和签名检测。签名检测系统包含攻击描述或签名，与审计数据流匹配以寻找攻击证据；异常检测系统通过识别与正常活动不同的流量或应用来识别入侵。

这两种方法都有缺点，误报是主要问题，也是反应式入侵检测系统进一步实施的障碍。不过，异常检测能识别新攻击，无需更新规则，但需要合适的阈值来区分正常和异常的快速攻击活动。

选择区分正常和异常网络流量的阈值有静态和动态两种技术，本文关注静态阈值。此前研究者采用了多种识