面向集中管理的安全事件关联关键技术研究

论文摘要

随着网络安全管理的不断发展,综合管理、集中管理方式逐渐成为热点。网络中各类安全设备产生数量庞大且种类繁多的安全告警事件,为减少冗余事件并识别出潜在的威胁,集中式管理平台通过关联分析技术将来自不同位置、不同类型安全设备发来的事件进行统一分析处理。各类安全设备监测范围各有偏重,关联引擎使用规则或者统计特征等信息在众多安全设备基础上对网络安全态势做宏观上的分析。论文对网络事件关联分析方法做了较为深入的研究,结合网络攻击模型、模式匹配、风险评估、数据挖掘等相关领域知识,对关联引擎上运用的各种算法进行了分析与比较,针对关联方法本身及关联规则的获取做了改进与实现。论文在规则关联方法和统计关联方法的基础上,对两者进行了融合,把统计特征应用到规则关联中,设计了综合关联算法。实验证明,算法在不影响漏报率和误报率情况下,一定程度地提高了关联分析的实时性。同时,论文对面向序列项的数据挖掘算法WINEPI进行了改进,实现了候选规则的挖掘。在关联引擎中应用综合关联算法与规则挖掘算法,可以有效地利用集中管理优势,提高网络安全宏观监控力度。

论文目录

摘要

ABSTRACT

第一章绪论

1.1 课题背景

1.2 网络安全集中管理的概念

1.3 关联分析简介

1.3.1 基于攻击树的网络攻击模型

1.3.2 关联方法的发展

1.4 相关研究简介

1.5 主要研究工作

1.6 本文的组织结构

第二章安全集中管理平台架构与相关技术

2.1 引言

2.2 安全集中管理平台概述

2.2.1 OPSEC 简介

2.2.2 OSSIM 简介

2.3 安全事件的规范化

2.3.1 IDMEF 简介

2.3.2 OSSIM 的事件格式

2.4 安全事件关联方法及关联引擎结构

2.4.1 规则关联方法

2.4.2 统计关联方法

2.4.3 常见关联引擎结构

2.5 规则的配置与挖掘

2.5.1 规则的表现形式

2.5.2 知识发现与数据挖掘

2.6 本章小结

第三章结合统计方法与规则匹配的综合关联算法

3.1 引言

3.2 关联算法评价指标与算法思想简述

3.3 CALM 算法

3.4 规则匹配过程

3.4.1 规则树与匹配中间状态

3.4.2 匹配流程

3.5 综合关联算法设计

3.5.1 带优先级的事件队列

3.5.2 队列优先级维护

3.5.3 引擎工作流程与复杂性分析

3.6 本章小结

第四章安全事件库上的规则挖掘算法

4.1 引言

4.2 面向序列项的数据挖掘方法

4.2.1 WINEPI 算法介绍

4.2.2 需求与改进

4.3 问题的形式化描述

4.3.1 事件序列与情节的形式化

4.3.2 频繁情节的形式化

4.4 规则挖掘算法描述

4.4.1 构建新的候选情节

4.4.2 识别频繁情节并生成规则

4.5 时间复杂性分析与算法流程

4.6 本章小结

第五章综合关联引擎的实现与测试

5.1 引言

5.2 综合关联引擎的结构

5.2.1 引擎的总体结构

5.2.2 功能模块与接口

5.3 实验设计与结果分析

5.3.1 综合关联算法模拟验证

5.3.2 规则挖掘算法测试实验

5.4 本章小结

第六章结束语

6.1 本文工作总结

6.2 未来工作展望

致谢

参考文献

作者在学期间取得的学术成果

面向集中管理的安全事件关联关键技术研究

论文摘要

论文目录

相关论文文献

猜你喜欢