论文摘要
防火墙、入侵检测系统、漏洞扫描等网络安全设备的大量应用,虽然能够解决或者部分解决网络安全问题,但是这些安全设备也相应产生大量的“安全事件”,对这些安全事件的分析是一项繁重的任务。安全事件关联是一种行之有效的安全事件分析技术。研究安全事件关联模型、关联方法,设计开发有效的、先进的网络安全事件关联设备和关联系统,是本文的研究方向。本文在分析相关领域研究现状的基础上:提出了SecModel网络安全事件关联模型。利用该模型对相关信息的描述,便于对各类安全事件进行更深层次的、更有效的关联,包括对事件的过滤、聚合、重构、优先级的确定等。针对安全事件的过滤提出了相应的关联方法。利用该方法能够实现对各类安全事件的有效过滤,在一定程度上排除入侵告警中的误报,同时,有利于发现那些隐藏在日志事件中攻击者的入侵行为。针对安全事件的重构提出了基于Fp_Growth算法的关联方法,实现了对多步攻击序列的重现,能够发现攻击者的入侵策略和逻辑步骤。针对安全事件优先级的确定提出了相应的关联方法。以各个安全事件的优先级为尺度来衡量各个事件对系统造成的危害,能够方便管理员对高危害事件进行重点关注和及时响应。设计了网络安全事件关联系统,并完成了原型系统的开发。系统采用安全事件采集层、安全事件关联层、安全事件管理层三层结构,实现了对网络安全事件自动化的采集、范化、过滤、聚合、重构、优先级确定等。测试表明,系统具有很好的关联效果,达到了预期目的。
论文目录
摘要ABSTRACT第一章 绪论1.1 研究背景1.2 问题陈述1.3 研究目标及内容1.4 主要创新点1.5 论文架构第二章 网络安全事件关联研究2.1 网络安全事件2.1.1 防火墙日志2.1.2 入侵检测告警2.1.3 主机操作系统日志2.1.4 IIS日志2.2 网络安全事件关联研究现状2.2.1 现有网络安全事件关联模型2.2.2 现有的网络安全事件关联方法2.2.3 现有的网络安全事件关联系统2.3 本章小结第三章 SecModel网络安全事件关联模型及关联方法3.1 SecModel网络安全事件关联模型3.1.1 SecModel网络安全事件关联模型的建立3.1.2 模型中的信息实体3.1.3 模型中实体间的关系3.2 针对网络安全事件过滤的关联方法3.2.1 针对入侵检测告警过滤的关联方法3.2.2 针对防火墙日志过滤的关联方法3.2.3 针对IIS日志过滤的关联方法3.2.4 针对主机日志过滤的关联方法3.3 针对网络安全事件重构的关联方法3.3.1 多步攻击的入侵过程分析3.3.2 网络安全事件的重构3.4 针对网络安全事件优先级确定的关联方法3.4.1 网络安全事件优先级分析模型3.4.2 网络安全事件优先级的确定3.5 本章小节第四章 网络安全事件关联系统设计4.1 系统总体设计4.1.1 系统概述4.1.2 系统组成框架4.1.3 系统层次结构4.2 系统各个模块功能设计4.2.1 事件采集层4.2.2 事件关联层4.2.3 管理层4.3 系统开发平台4.4 本章小结第五章 网络安全事件关联系统测试5.1 测试环境5.2 测试过程5.3 结果分析5.4 本章小结第六章 总结与展望6.1 本文总结6.2 下一步工作参考文献作者简历 攻读硕士学位期间完成的主要工作致谢
相关论文文献
标签:网络安全事件论文; 关联模型论文; 关联方法论文; 关联系统论文; 过滤论文; 重构论文; 优先级确定论文;
