论文题目: 事件告警分析引擎的设计与实现
论文类型: 硕士论文
论文专业: 计算机应用技术
作者: 高雷
导师: 孙育宁
关键词: 事件安全分析,关联分析,语义嵌套规则,框架,事件分析引擎
文献来源: 中国科学院研究生院(计算技术研究所)
发表年度: 2005
论文摘要: 随着网络规模的扩大和网络应用的丰富,网络活动正呈级数增加,为了应对随之而来的安全问题,出现了防火墙、IDS(入侵检测系统)、AV(防病毒系统)等多种安全防护技术。事实上,在一个常见的网络部署中,除了路由器、Web及Ftp服务器、主机等常规设备以外,往往也囊括了上述提及的所有安全设备。一方面,具有不同技术侧重的安全设备从不同的角度满足了安全需求,而另一方面形式多样的产品形态也给网络安全管理带来了巨大障碍。在传统的安全分析方法中,总是以人工的方式通过分析相关安全设备的日志来获取特定的安全相关信息,这种方式在每天以GB为单位的日志量条件下已完全失去意义。因此,无论是局域网络还是广域网络,都迫切需要一个自动的、综合的安全分析解决方案来对网络进行集中管理。然而,在复杂的网络环境下对缺乏集成、缺乏互操作性的不同软硬件产品提供一个统一的安全管理平台并非易事。怎样从形式不一的设备日志中摘取感兴趣的信息、怎样将可能的事件关联起来从而发现网络正在发生的事情、怎样对检测到的安全状况做出处理,这些都是一个集中安全分析方案所必须面对的问题。本文从安全事件关联分析的角度对上述问题进行了研究。文章以传统的入侵检测技术为起点,对现有事件关联分析技术中基于编码的关联技术、基于推理的关联技术、基于形式语言的关联技术进行了深入探讨,对现有技术存在的缺陷与不足进行了分析。针对现有方案中理论探讨过多,而缺少实质性关联实施技术的现状,本文设计了一套进行安全事件关联分析的具体实施方案,并将准确性、通用性、实时性和安全性作为安全分析技术的首要考虑因素。整个方案涵盖了事件采集与归一化、重复事件汇总、异构事件源关联、告警与漏洞信息关联等。在此基础上,本文提出了一种基于语义嵌套规则的关联分析技术,给出了相应的匹配算法及伪码实现。由测试得到的实验数据可以看到,该分析技术在性能及分析效果上都有较为满意的表现。以上述理论探索及实践为基础,依托国家863多数据源强审计项目的实际需求,设计并实现了一个基于JMX框架的企业级事件分析引擎,该引擎在安全上实现了权限认证机制、日志审计机制,在响应策略上实现了控制台实时告警、邮
论文目录:
摘要
Abstract
第一章 引言
1.1 事件分析技术的产生与发展
1.1.1 初始应用领域
1.1.2 入侵检测
1.1.3 关联分析
1.2 事件安全分析的相关研究项目
1.2.1 CIDF
1.2.2 ArcSight 事件分析产品
1.2.3 OSSIM 开源项目
1.3 事件安全分析技术的现状
1.3.1 入侵检测技术现状
1.3.2 关联分析技术现状
1.4 论文研究的意义
1.4.1 事件安全分析存在的需求及挑战
1.4.2 事件安全分析的研究价值
1.5 论文所做的主要贡献
1.6 论文的组织
第二章 事件分析技术研究
2.1 入侵检测技术
2.1.1 技术思想
2.1.2 基于知识的入侵检测
2.1.3 基于人工智能的检测
2.1.4 知识与人工智能结合的技术
2.1.5 技术现状的不足
2.2 关联分析技术
2.2.1 关联分析的概念
2.2.2 关联分析架构
2.2.3 关联分析预处理
2.2.4 事件关联关系
2.2.5 针对性关联
2.2.6 分析结果处理
2.2.7 研究趋势
2.3 分析与小结
2.3.1 技术现状的不足
2.3.2 关联分析评价与衡量的首要因素
第三章 安全关联分析设计
3.1 异构数据源之间的关联设计
3.1.1 数据采集
3.1.2 事件关联思路
3.2 告警与漏洞信息之间的关联设计
3.2.1 基于SNMP 代理的漏洞查询
3.2.2 基于数据库的漏洞查询
3.2.3 漏洞关联实施
3.3 小结
第四章 基于语义嵌套规则的安全关联分析
4.1 总体设计
4.1.1 基本定义
4.1.2 基本构架
4.2 详细说明
4.2.1 规则XML 定义
4.2.2 规则表述形式
4.2.3 语义嵌套规则
4.2.4 关联规则匹配算法及实现
4.3 实验测试结果与分析
4.3.1 测试环境
4.3.2 性能测试
4.3.3 功能测试
4.4 小结
第五章 基于JMX 框架的事件分析引擎实现
5.1 项目背景
5.1.1 多数据源强审计项目
5.2 事件分析引擎的架构设计
5.2.1 数据通信结构
5.2.2 事件告警管理在JMX 框架概念下的层次分解
5.2.3 事件分析引擎架构图
5.3 事件安全分析引擎的实现
5.3.1 日志监听服务
5.3.2 事件分析服务
5.3.3 响应处理机制
5.4 小结
第六章 结论及进一步的工作
6.1 论文小结
6.2 论文的贡献与创新
6.3 进一步的工作
参考文献
致谢
作者简历
发布时间: 2006-12-26
参考文献
- [1].WebGIS海量瓦片数据管理引擎的设计与实现[D]. 商秀玉.浙江师范大学2012
- [2].基于确定有限状态自动机的正则表达式引擎的设计与实现[D]. 许强.西安电子科技大学2012
- [3].嵌入式浏览器布局绘制引擎的研究与实现[D]. 刘道宏.电子科技大学2011
- [4].基于FPGA的正则匹配引擎自动生成方法的研究[D]. 王玉洁.哈尔滨工程大学2011
- [5].基于服务的虚拟关系引擎的研究与实现[D]. 张霄宏.河南理工大学2007
- [6].嵌入式浏览器样式引擎研究与优化[D]. 刘剑.电子科技大学2011
- [7].嵌入式浏览器解析与排版布局引擎的研究优化[D]. 孙玮.电子科技大学2012
- [8].服务爬虫引擎中服务识别与抓取功能的设计与实现[D]. 刘娟娟.北京邮电大学2013
- [9].驻地SNS服务器服务执行引擎的研究与设计[D]. 朱厚聪.北京邮电大学2011
- [10].嵌入式浏览器Javascript引擎的分析与优化[D]. 曾亮.电子科技大学2011
相关论文
- [1].网络安全事件发现与关联分析系统[D]. 金文进.哈尔滨工程大学2008
- [2].网络安全事件关联分析方法的研究与实现[D]. 李亚琴.华中科技大学2006
- [3].数据流多重持续查询优化技术研究及其在入侵检测中的应用[D]. 沈星星.中国科学院研究生院(计算技术研究所)2005
- [4].基于网络的分布式安全预警系统的研究与设计[D]. 刘上伟.四川大学2006
- [5].分布式IDS报警数据融合模型的研究与实现[D]. 于雪丽.清华大学2005
- [6].安全事件关联分析引擎的研究与设计[D]. 杜君.吉林大学2007
- [7].计算机操作系统安全事件关联分析研究[D]. 罗云波.四川大学2004
- [8].IP网络监控系统设计及告警事件关联研究[D]. 张欣.电子科技大学2005
- [9].资源监控系统中事件关联分析的研究[D]. 马杰.北京邮电大学2006
- [10].IDS中告警关联分析引擎的研究[D]. 沈亚敏.湖南大学2006