论文摘要
随着Internet规模的迅速扩张,网络应用得到飞速发展与壮大,随之而来的是网络遭受着越来越多的安全威胁。网络信息安全已经影响到生活、经济甚至是国家安全。因此,网络安全设备及系统得到不断发展,出现了防火墙(FW)、入侵检测系统(IDS)、防病毒系统(AV)等多种安全防护技术,在网络安全防护中起到了积极的作用。对于各种网络安全设备,尤其是IDS和FW,面临着诸多问题与挑战,主要是海量报警信息、误漏报率高、报警事件描述低级和安全设备之间没有协作等问题。为了解决目前网络安全设备面临的上述问题,安全事件关联分析技术目前正不断得到重视,特别是对IDS报警事件的关联分析处理成为研究热点。本文在对关联分析技术研究现状总结与分析的基础上,设计了基于攻击图关联分析算法以及基于属性相似度关联分析算法。基于攻击图关联分析算法是借助于网络攻击图提供的信息,得到弱点利用节点间距离(攻击图距离),在假设攻击者会选择最小代价(攻击图距离最短)进行下步攻击的前提下,通过攻击图距离来衡量安全事件间相关性,从而对多步攻击进行关联;基于属性相似度关联分析算法是聚类思想的应用。通过衡量安全事件之间的属性相似性,来衡量整体安全事件的相似度,并设计了新事件与原有聚类的整体相似度衡量算法。将满足一定相似度阈值的安全事件进行聚合。本文还设计了一个安全事件关联分析模型,同时结合安全事件预处理技术,冗余归并技术,安全态势评估技术,统计分析技术,最终完整实现了网络安全事件发现与关联分析系统。通过采用DARPA数据集测试,能够有效精简报警,降低误漏报率,并对多步安全事件进行关联,还原攻击过程,生成了高级攻击场景。原型系统达到了设计的预期目标。