分布式安全审计系统与报警关联技术研究

论文摘要

网络信息安全问题越来越受到人们的关注,安全审计技术的研究成为解决这一问题的有效途径之一。安全审计的研究主要集中在对审计采集技术,审计分析技术和体系结构的研究。分布式的安全审计系统是安全审计体系结构设计的一个趋势。本文设计和实现了一种分布式的安全审计框架,把审计中心设计成一种服务模型,并以接口的形式为其他各模块提供服务。这样的模型设计满足审计系统跨平台、跨编程语言的要求。在整体框架中融入了过滤器模块,实现了过滤器的动态和静态设置,这在其他安全审计系统中还是少见的。为了管理和分析的便利,本文分析其他常用的日志格式,确定了一种通用审计日志格式,并定义了各种安全审计事件。在审计分析方面可以采用报警关联技术和其他审计分析技术相结合,这种方法有利于审计分析。报警关联技术包括合并重复的、删除无意义和错误的、组合琐碎的告警,使得安全审计分析和响应更加有效。在这方面本文主要研究了报警关联分析,为了表达攻击发生的前提条件和结果之间的逻辑关系,采用了能力模型的概念,并使用基于能力模型的报警关联机制来自动关联属于同一次多阶段攻击中的报警。最后,在结合分布式安全审计系统设计了报警关联器。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 研究背景

1.1.1 网络信息安全现状

1.1.2 国内外信息安全研究现状

1.1.3 国内外安全审计系统研究现状

1.2 研究内容和文章织织结构

第二章安全审计基础

2.1 安全审计系统功能模块

2.1.1 安全审计自动响应

2.1.2 安全审计事件生成

2.1.3 安全审计分析

2.1.4 安全审计浏览

2.1.5 安全审计事件选择

2.1.6 安全审计事件存储

2.2 安全审计系统分类

2.2.1 基于主机的审计

2.2.2 基于网络的审计

2.2.3 集中式安全审计系统

2.2.4 分布式安全审计系统

2.2.4.1 有控制中心的分布式安全审计系统

2.2.4.2 无控制中心的分布式安全审计系统

2.3 安全审计技术现状

2.4 报警关联技术概述

2.4.1 报警关联概念

2.4.2 报警关联技术

2.4.2.1 报警之间的关联关系

2.4.2.2 需要先验知识的报警关联方法

2.4.2.3 不需要先验知识的报警关联方法

2.4.3 报警关联模型

第三章分布式安全审计系统设计

3.1 安全审计系统模型

3.2 审计中心

3.3 审计数据采集

3.3.1 审计采集点

3.3.2 日志格式

3.3.2.1 Windows操作系统日志

3.3.2.2 IIS日志

3.3.2.3 目录及文件操作日志

3.4 审计事件分析

3.5 审计安全存储

3.6 审计系统管理控制台

3.7 审计报表

第四章分布式安全审计系统实现

4.1 系统框架

4.2 审计服务API

4.3 审计通信流程

4.3.1 数据包设计

4.3.2 审计数据包通信流程

4.4 数据采集实现

4.4.1 通用日志格式

4.4.2 采集agent

4.4.2.1 系统日志采集agent

4.4.2.2 文件监控AGENT

4.4.2.3 通信agent

4.5 过滤器规则配置

4.5.1 Filter元素

4.5.2 匹配标准

4.5.3 Action规范

第五章报警关联分析

5.1 能力模型

5.1.1 能力定义

5.1.2 推理规则

5.2 使用能力模型关联报警

5.2.1 构建能力模型

5.2.2 能力修饰符

5.2.3 关联算法

5.2.3.1 m-Attack集合的搜索算法

5.2.3.2 Provides替换算法

5.2.3.3 外部关联算法

5.3 报警关联器的结构

5.4 报警关联器环境配置

5.4.1 能力知识库

第六章总结和展望

6.1 工作总结

6.2 工作展望

参考文献

致谢

攻读学位期间发表的学术论文目录

分布式安全审计系统与报警关联技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢