报警信息的关联分析与研究

论文摘要

随着网络在社会各个领域内的普及,网络与信息安全问题越来越突出。网络每天承受数百万次的入侵和攻击。电脑罪犯、恐怖分子和黑客越来越擅长侵入政府和私人网络从事间谍活动,窃取重要数据或是侵袭重要基础设施。为了应对网络危机和信息灾难,各种各样的网络安全防御技术不断地推出。其中入侵检测技术是核心技术之一,但由于入侵检测系统产生海量报警数据,误报漏报问题严重,报警层次低,无法关联出多步攻击场景,给出攻击的高层策略,管理代价巨大,甚至入侵检测系统形同虚设。而报警关联技术能够弥补这些不足和缺陷,并成为当前网络安全的重要研究方向之一。文中介绍了网络攻击时间的顺序性,步骤的不确定性、分布性和协同性等特点,并依据网络攻击分类的原则对已有的基于经验术语、单属性、两维度多属性,多维度多属性、漏洞威胁的攻击分类进行分析,并进一步从实际应用的角度进行了评价。攻击分类的描述应反映到报警数据模型的属性特征上。然后选择核心属性特征,结合专家经验,对入侵检测系统产生的报警数据进行分类。本文从粒计算的角度依据粒化、分层、聚焦等原则把报警信息分类为3种粒度：满足冗余关系的粒度、满足相似关系的粒度和满足因果关系的粒度。然后,对于不同粒度的报警数据采用不同的处理方法。本文对已有的报警处理方法及报警关联架构模型进行了梳理分析,并比较分析了各自的优缺点,在此基础上提出了一种新的报警关联模型。该模型通过事件关联把具有相似关系的报警信息关联后存储为元报警,然后根据报警类型知识库转换为超报警,最后根据超报警之间的因果关系进行攻击关联,构建出攻击关联图。同时,在前人提出的攻击关联方法的基础上提出了一种改进的攻击关联算法,该方法具有一定的实时关联处理能力。实验表明,该模型精简了报警数量,提高了报警处理效率,对识别攻击意图和提高报警准确性有较好的效果。

论文目录

摘要

Abstract

图目录

表目录

1. 绪论

1.1 选题背景

1.2 关联分析技术研究意义

1.3 研究现状

1.4 论文的组织和安排

1.4.1 主要研究内容

1.4.2 论文主要贡献

1.4.3 论文组织结构

2 网络攻击

2.1 网络攻击特点

2.2 网络攻击分类

2.2.1 网络攻击分类应遵循的标准

2.2.2 网络攻击分类的现状

2.2.3 网络攻击分类的应用

2.3 本章小结

3 报警关联技术

3.1 报警数据模型

3.1.1 IDMEF数据模型

3.1.2 报警特征的分析

3.2 报警之间的关系分类

3.3 报警关联分析算法

3.3.1 基于报警特征相似的关联

3.3.2 基于已知攻击场景的方法

3.3.3 基于因果关系的关联

3.4 本章小结

4 报警关联架构模型

4.1 典型的关联架构模型

4.1.1 基于概率相似的关联架构

4.1.2 入侵检测报警关联的综合框架

4.1.3 CRIM关联架构

4.1.4 基于前提结果的关联模型

4.2 基于聚类因果关联的架构模型

4.3 本章小结

5 聚类因果关联模型的实现

5.1 报警预处理

5.2 事件关联

5.2.1 事件定义

5.2.2 事件关联标准

5.2.3 报警聚类

5.3 报警格式转换

5.3.1 超报警

5.3.2 元报警转换为超报警

5.4 攻击关联

5.4.1 攻击定义

5.4.2 Ning P等人的攻击关联算法

5.4.3 多步攻击关联算法

5.5 实验

5.5.1 数据源

5.5.2 实验涉及问题

5.5.3 实验结果

5.6 本章小结

6 总结与展望

6.1 总结

6.2 展望

参考文献

致谢

个人简历、在学期间发表的学术论文

报警信息的关联分析与研究

论文摘要

论文目录

相关论文文献

猜你喜欢