本文關(guān)鍵詞：安全信息與事件管理關(guān)鍵技術(shù)研究

  更多相關(guān)文章： 安全信息與事件管理 事件關(guān)聯(lián) 攻擊意圖 OSSIM 復(fù)合攻擊

【摘要】：隨著安全威脅日益增加,防火墻、漏洞掃描、入侵檢測系統(tǒng)、防病毒軟件等眾多各異的安全設(shè)備紛紛部署在網(wǎng)絡(luò)中。這些安全設(shè)備雖然在某些方面或者一定程度上提高了系統(tǒng)的安全性,但是也存在著管理復(fù)雜、各自為政、存在大量重復(fù)報警和誤報等問題,難以應(yīng)對日趨復(fù)雜化、高級化、持續(xù)化的高級復(fù)合攻擊。 安全信息與事件管理(SIEM),是將目標網(wǎng)絡(luò)中的主機和網(wǎng)絡(luò)的安全信息,以及其中的安全設(shè)備產(chǎn)生的安全事件收集整合,在信息共享的基礎(chǔ)上,對采集到的安全信息與事件進行統(tǒng)一的冗余過濾、數(shù)據(jù)聚合、關(guān)聯(lián)分析,挖掘出正在進行的攻擊并做出實時快速的響應(yīng),預(yù)測安全態(tài)勢。在安全信息與事件管理中,如何從復(fù)雜多樣的安全設(shè)備產(chǎn)生的大量重復(fù)報警中關(guān)聯(lián)出實際的已完成或者正在進行的攻擊,從而反映網(wǎng)絡(luò)的安全狀況是其面臨的關(guān)鍵問題。 本文對安全信息與事件管理中的關(guān)鍵技術(shù)——事件關(guān)聯(lián)進行了深入的研究,提出了基于攻擊意圖的安全事件關(guān)聯(lián)算法。該算法采用層次化的目標樹來表示攻擊邏輯關(guān)系,將低級報警抽象為攻擊意圖,將傳統(tǒng)的基于攻擊行為的攻擊事件轉(zhuǎn)化為基于攻擊意圖的攻擊事件,進而與事先建立的分布式網(wǎng)絡(luò)攻擊場景庫進行匹配,從而實現(xiàn)基于攻擊意圖的安全事件關(guān)聯(lián),從大量嘈雜的安全事件中檢測出高級復(fù)合攻擊。 本文在研究了開源安全信息與事件管理平臺OSSIM的基礎(chǔ)上,基于該平臺改進了基于攻擊意圖的安全信息與事件管理系統(tǒng),并模擬實現(xiàn)一次針對小型企業(yè)內(nèi)網(wǎng)的典型高級復(fù)合攻擊,以對該系統(tǒng)進行測試。測試結(jié)果表明,基于攻擊意圖的安全信息與事件管理系統(tǒng)能夠準確地檢測到高級復(fù)合攻擊。
【關(guān)鍵詞】：安全信息與事件管理 事件關(guān)聯(lián) 攻擊意圖 OSSIM 復(fù)合攻擊
【學位授予單位】：北京郵電大學
【學位級別】：碩士
【學位授予年份】：2015
【分類號】：TP393.08
【目錄】：

• 摘要4-5
• ABSTRACT5-9
• 第一章 緒論9-14
• 1.1 背景及研究意義9-10
• 1.2 國內(nèi)外研究現(xiàn)狀10-11
• 1.3 論文的研究內(nèi)容11-12
• 1.4 論文的組織結(jié)構(gòu)12-13
• 1.5 本章小結(jié)13-14
• 第二章 安全信息與事件管理概述14-27
• 2.1 SIEM定義14-15
• 2.2 SIEM處理流程15-20
• 2.2.1 信息采集16-18
• 2.2.2 數(shù)據(jù)分析18-20
• 2.2.3 安全評估20
• 2.3 SIEM體系結(jié)構(gòu)20-24
• 2.3.1 集中式體系結(jié)構(gòu)20-21
• 2.3.2 層次化體系結(jié)構(gòu)21-22
• 2.3.3 分布式體系結(jié)構(gòu)22
• 2.3.4 Agent體系結(jié)構(gòu)22-23
• 2.3.5 體系結(jié)構(gòu)對比23-24
• 2.4 SIEM產(chǎn)品24-26
• 2.4.1 IBM QRadar25
• 2.4.2 AlienVault OSSIM25
• 2.4.3 HPArcSight25-26
• 2.4.4 啟明星辰TSOC26
• 2.5 本章小結(jié)26-27
• 第三章 基于攻擊意圖的安全事件關(guān)聯(lián)27-38
• 3.1 事件關(guān)聯(lián)方法27-30
• 3.1.1 統(tǒng)計關(guān)聯(lián)28
• 3.1.2 因果關(guān)聯(lián)28
• 3.1.3 模板關(guān)聯(lián)28-29
• 3.1.4 現(xiàn)有事件關(guān)聯(lián)方法的對比29-30
• 3.2 基于攻擊意圖的目標樹30-34
• 3.2.1 基于攻擊意圖的攻擊事件30-32
• 3.2.2 攻擊事件關(guān)聯(lián)規(guī)則32
• 3.2.3 基于目標樹的攻擊場景32-34
• 3.3 基于攻擊意圖的安全事件關(guān)聯(lián)算法34-37
• 3.3.1 算法思想34-35
• 3.3.2 算法描述35-37
• 3.3.3 算法分析37
• 3.4 本章小結(jié)37-38
• 第四章 基于攻擊意圖的安全信息與事件管理系統(tǒng)設(shè)計38-55
• 4.1 開源安全信息管理平臺OSSIM簡介38-42
• 4.1.1 OSSIM系統(tǒng)框架38-41
• 4.1.2 OSSIM工作流程41-42
• 4.1.3 OSSIM缺陷42
• 4.2 設(shè)計思想42-44
• 4.2.1 信息采集42-43
• 4.2.2 事件分析43-44
• 4.3 系統(tǒng)框架44-53
• 4.3.1 信息采集代理45-47
• 4.3.2 基于攻擊意圖的安全事件關(guān)聯(lián)引擎47-51
• 4.3.3 數(shù)據(jù)庫51-52
• 4.3.4 Web展示頁面52-53
• 4.4 工作流程53-54
• 4.5 本章小結(jié)54-55
• 第五章 基于攻擊意圖的安全信息與事件管理系統(tǒng)實驗55-64
• 5.1 實驗環(huán)境55-57
• 5.2 實驗過程57-59
• 5.2.1 高級復(fù)合攻擊分析57-58
• 5.2.2 實施高級復(fù)合攻擊58-59
• 5.3 實驗結(jié)果59-62
• 5.4 實驗結(jié)果分析62-63
• 5.5 本章小結(jié)63-64
• 第六章 結(jié)束語64-66
• 6.1 主要研究成果與創(chuàng)新點64-65
• 6.2 下一步工作65-66
• 參考文獻66-68
• 致謝68-69
• 研究生期間發(fā)表論文列表69

【參考文獻】

中國期刊全文數(shù)據(jù)庫 前4條

1 穆成坡,黃厚寬,田盛豐,林友芳,秦遠輝;基于模糊綜合評判的入侵檢測報警信息處理[J];計算機研究與發(fā)展;2005年10期

2 柳亞明;許峰;呂志軍;黃皓;;基于攻擊意圖的報警信息關(guān)聯(lián)研究[J];計算機科學;2005年09期

3 韓宗芬,楊志玲,儲杰,涂旭平;一種用于網(wǎng)絡(luò)安全系統(tǒng)的報警聚類與關(guān)聯(lián)模型[J];計算機工程與科學;2005年10期

4 嚴芬;黃皓;殷新春;;基于CTPN的復(fù)合攻擊檢測方法研究[J];計算機學報;2006年08期

，

本文編號：1003731