【摘要】：隨著互聯(lián)網(wǎng)普及和信息技術(shù)的快速發(fā)展,網(wǎng)絡(luò)攻擊類型也變得復(fù)雜多樣,安全形勢日益嚴(yán)峻。因此為了保障網(wǎng)絡(luò)安全,事件應(yīng)急響應(yīng)成為網(wǎng)絡(luò)安全體系結(jié)構(gòu)中不可或缺的重要環(huán)節(jié),如何建立有效的計(jì)算機(jī)網(wǎng)絡(luò)安全應(yīng)急響應(yīng)機(jī)制,成為研究的熱點(diǎn)和重點(diǎn)。本文在現(xiàn)有的分布式應(yīng)急響應(yīng)管理系統(tǒng)CHAIRS(Cooperative Hybrid Aided Incidence Response System)的基礎(chǔ)上,研究威脅信息的交換標(biāo)準(zhǔn),對CHAIRS進(jìn)行基于結(jié)構(gòu)化威脅信息表達(dá)(STIX)的設(shè)計(jì)和應(yīng)用,使得CHAIRS的案件信息、響應(yīng)步驟和頁面展示部分符合標(biāo)準(zhǔn)格式的表達(dá),并實(shí)現(xiàn)在該標(biāo)準(zhǔn)表達(dá)下CHAIRS案件響應(yīng)過程的自動化。同時支持STIX數(shù)據(jù)對象的標(biāo)準(zhǔn)格式輸出,實(shí)現(xiàn)信息的交換和共享,提高響應(yīng)的效率和準(zhǔn)確性,保障網(wǎng)絡(luò)安全。為使得CHAIRS案件信息標(biāo)準(zhǔn)化,論文研究了目前國內(nèi)外成熟且應(yīng)用廣泛的威脅信息標(biāo)準(zhǔn),對比分析各個標(biāo)準(zhǔn)的利弊和適用場景,并綜合考慮CHAIRS的實(shí)際需求,最終選擇基于STIX對CHAIRS案件信息組織結(jié)構(gòu)進(jìn)行設(shè)計(jì)。本文詳細(xì)分析STIX數(shù)據(jù)對象在CHAIRS的存在形式和各個屬性之間的映射關(guān)系,確保CHAIRS滿足威脅信息的表達(dá)標(biāo)準(zhǔn)。在實(shí)現(xiàn)基于STIX的CHAIRS案件信息結(jié)構(gòu)改進(jìn)的基礎(chǔ)上,本文實(shí)現(xiàn)了響應(yīng)步驟的標(biāo)準(zhǔn)化和響應(yīng)流程的自動化。通過分析和對比STIX中Course Of Action數(shù)據(jù)對象與CHAIRS響應(yīng)步驟的異同,來標(biāo)準(zhǔn)化響應(yīng)步驟的信息表達(dá)。然后研究應(yīng)用STIX標(biāo)準(zhǔn)后的自動化響應(yīng)流程。本文的自動化設(shè)計(jì)是在CHAIRS靜態(tài)模板的基礎(chǔ)上,對靜態(tài)模板中的多個響應(yīng)步驟解耦,并把輸入、接口地址和配置等信息參數(shù)化,使得各個功能模塊相對獨(dú)立。這種低耦合的可配置模板,能夠大大提高模板的靈活性和兼容性,提高案件響應(yīng)的自動化程度。另外,為基于STIX的案件自動響應(yīng)提供數(shù)據(jù)源的支持,本文設(shè)計(jì)并實(shí)現(xiàn)了匯聚各個檢測系統(tǒng)結(jié)果的安全事件庫。為了兼容多源異構(gòu)的數(shù)據(jù)格式,并滿足CHAIRS的使用性能需求,本文對比分析關(guān)系型和非關(guān)系型數(shù)據(jù)庫(NoSQL),最終選擇No SQL中的MongoDB來實(shí)現(xiàn)。同時為了保證可靠數(shù)據(jù)傳輸,采用基于TCP的Socket通信方式。最后本文以CC控制器的自動追蹤為例,驗(yàn)證應(yīng)用STIX標(biāo)準(zhǔn)之后,案件自動響應(yīng)的實(shí)現(xiàn)效果。論文最后對將來的應(yīng)急響應(yīng)進(jìn)行了展望,指出關(guān)聯(lián)性分析和取證報文結(jié)果分析的深入研究,將對提高應(yīng)急響應(yīng)效率產(chǎn)生重大的意義。
【圖文】：

地區(qū)網(wǎng)絡(luò)中心以及地區(qū)主結(jié)點(diǎn)負(fù)責(zé)地區(qū)網(wǎng)的運(yùn)行管理和建設(shè)規(guī)劃，分別設(shè)在清華大大學(xué)等 10 所高校。而省級結(jié)點(diǎn)分別設(shè)在全國 36 個城市的 38 所大學(xué)。在 CERNET 成立的二十多年里，國家高度重視 CERNET 發(fā)展和管理。在“十五”211CERNET 主干網(wǎng)的運(yùn)營安全基本保障系統(tǒng)基礎(chǔ)上，，“十一五”211 工程在 CERNET 網(wǎng)絡(luò)個主節(jié)點(diǎn)上建立高性能網(wǎng)絡(luò)管理與安全保障系統(tǒng)，對部署在 CERNET 與其他網(wǎng)絡(luò)互聯(lián)（包國內(nèi)聯(lián)接）接口上以及 CERNET 主干網(wǎng)與各節(jié)點(diǎn)接入網(wǎng)接口上的分布式網(wǎng)絡(luò)流量行為監(jiān)測造升級，維持對網(wǎng)絡(luò)流量實(shí)時監(jiān)控的能力。該項(xiàng)目旨在開發(fā) CERNET 網(wǎng)絡(luò)服務(wù)質(zhì)量監(jiān)控系網(wǎng)上的異常行為監(jiān)測系統(tǒng)，并建立健全事件應(yīng)急響應(yīng)協(xié)同服務(wù)系統(tǒng)，從而形成對 CERNET全、穩(wěn)定、可靠運(yùn)行的保障。1.2.2 分布式應(yīng)急響應(yīng)系統(tǒng)CHAIRS （Cooperative Hybrid Aided Incidence Response System，分布式網(wǎng)絡(luò)應(yīng)急響應(yīng)是 CERNET 下的應(yīng)急響應(yīng)協(xié)同服務(wù)系統(tǒng)[8-10]，主要是為 CERNET 網(wǎng)絡(luò)中心以及各主干節(jié)點(diǎn)理人員提供應(yīng)急響應(yīng)輔助功能，幫助安全管理人員快速、便捷、有效的處理事件，提升事率。CHAIRS 的系統(tǒng)功能結(jié)構(gòu)如下圖 1. 1 所示：

東南大學(xué)碩士學(xué)位論文撐環(huán)境的協(xié)同系統(tǒng)包括 NOBS、IPCIS、MONSETER、HYDRA 等系統(tǒng)，它們分別息庫管理、IP 歸屬及 IP 使用地理位置管理、報文采集及分析等功能。詳細(xì)etwork Behavior Observation System，網(wǎng)絡(luò)行為觀測系統(tǒng)）是用于監(jiān)控和管理和網(wǎng)絡(luò)安全狀態(tài)的新型網(wǎng)絡(luò)管理系統(tǒng)[17]。它基于流記錄（兼容 NetFlow）以絡(luò)的基礎(chǔ)運(yùn)行數(shù)據(jù)。NOBS 通過分析所采集數(shù)據(jù)流，發(fā)現(xiàn)異常流量和攻擊行提取出來，形成原始的事件，這是 CHAIRS 的數(shù)據(jù)源之一。R（Monitor On Network Security and Tool for Emergency Response， 網(wǎng)絡(luò)安是以監(jiān)聽方式工作在 CERNET 主干網(wǎng)上的網(wǎng)絡(luò)入侵檢測系統(tǒng)[18]， 該系統(tǒng)侵檢測、應(yīng)急采集、取證分析和系統(tǒng)運(yùn)行管理等功能。功能結(jié)構(gòu)圖如下圖
【學(xué)位授予單位】：東南大學(xué)
【學(xué)位級別】：碩士
【學(xué)位授予年份】：2018
【分類號】：TP393.08

【相似文獻(xiàn)】

相關(guān)期刊論文 前10條

1 ;國際安全研究開源大數(shù)據(jù)·全球網(wǎng)絡(luò)安全事件報告頻次統(tǒng)計(jì)(2009-2016年)[J];國際安全研究;2017年02期

2 劉陽;;美國發(fā)布《網(wǎng)絡(luò)安全事件恢復(fù)指南》[J];保密科學(xué)技術(shù);2017年05期

3 杜媛媛;;關(guān)于網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)的研究[J];無線互聯(lián)科技;2017年09期

4 ;中央網(wǎng)信辦印發(fā)《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》[J];中國應(yīng)急管理;2017年06期

5 本刊編輯部;;中央網(wǎng)信辦發(fā)布《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》[J];中國信息安全;2017年07期

6 楊洋;;網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)分析[J];網(wǎng)絡(luò)安全技術(shù)與應(yīng)用;2017年08期

7 ;從勒索病毒看網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)[J];中國信息安全;2017年07期

8 ;網(wǎng)絡(luò)安全事件分為四級[J];青年記者;2017年19期

9 ;事件[J];保密工作;2017年07期

10 ;國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心四川分中心關(guān)于四川省一般網(wǎng)絡(luò)安全事件的通報[J];通信與信息技術(shù);2015年06期

相關(guān)會議論文 前10條

1 朱雙華;周芳;;一種基于插件的網(wǎng)絡(luò)安全事件采集方法[A];2014第二屆中國指揮控制大會論文集（下）[C];2014年

2 莊建兒;顧碧波;陸坤良;;淺談信息網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)[A];第二屆全國信息安全等級保護(hù)技術(shù)大會會議論文集[C];2013年

3 李英楠;張宏莉;云曉春;方濱興;;基于網(wǎng)絡(luò)拓?fù)涞木W(wǎng)絡(luò)安全事件宏觀預(yù)警與響應(yīng)分析技術(shù)[A];全國網(wǎng)絡(luò)與信息安全技術(shù)研討會’2004論文集[C];2004年

4 杜躍進(jìn);;大規(guī)模突發(fā)網(wǎng)絡(luò)安全事件的宏觀控制[A];科技、工程與經(jīng)濟(jì)社會協(xié)調(diào)發(fā)展——中國科協(xié)第五屆青年學(xué)術(shù)年會論文集[C];2004年

5 王勁松;盧強(qiáng);張洪豪;石凱;張龍;;大規(guī)模網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)設(shè)計(jì)與實(shí)現(xiàn)[A];第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2011年

6 王雯霞;賈焰;韓偉紅;徐鏡湖;鄭黎明;;一種網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析的專家系統(tǒng)研究[A];第26次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2011年

7 曾柯達(dá);楊樹強(qiáng);韓偉紅;鄭黎明;徐鏡湖;;基于推理機(jī)的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析研究及實(shí)現(xiàn)[A];全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集·第二十五卷[C];2010年

8 穆祥昆;趙晨飛;霍英東;唐召東;;基于云架構(gòu)的網(wǎng)絡(luò)安全事件監(jiān)測系統(tǒng)研究[A];第28次全國計(jì)算機(jī)安全學(xué)術(shù)交流會論文集[C];2013年

9 劉雪嬌;肖德寶;常亞楠;陳歷淼;;網(wǎng)絡(luò)安全事件管理的綜合關(guān)聯(lián)分析解決方案[A];2007通信理論與技術(shù)新發(fā)展——第十二屆全國青年通信學(xué)術(shù)會議論文集（下冊）[C];2007年

10 李浩田;牛少彰;;AHP層次化分析方法在網(wǎng)絡(luò)應(yīng)急預(yù)案中的應(yīng)用[A];2009全國計(jì)算機(jī)網(wǎng)絡(luò)與通信學(xué)術(shù)會議論文集[C];2009年

相關(guān)重要報紙文章 前10條

1 張昊;Windows XP：擇日再死[N];經(jīng)濟(jì)觀察報;2014年

2 本報見習(xí)記者 錢林浩;網(wǎng)絡(luò)安全事件頻發(fā) 保險作用不容忽視[N];金融時報;2018年

3 記者 何春中;我國信息網(wǎng)絡(luò)安全事件發(fā)生比例連續(xù)3年上升[N];中國青年報;2007年

4 本報記者 李春蓮;志翔科技伍海桑：未來網(wǎng)絡(luò)安全事件會越來越多[N];證券日報;2018年

5 本報記者 葉晨暉;數(shù)字時代網(wǎng)絡(luò)安全事件頻發(fā) 互聯(lián)網(wǎng)國際合作亟待互信共治[N];通信信息報;2018年

6 Fahmida Y.Rashid InfoWorld資深作家 編譯 charles;為什么2017年將是安全最糟糕的一年[N];計(jì)算機(jī)世界;2017年

7 本報記者 王峰;新一輪勒索病毒再襲 中國搭建多層次預(yù)警應(yīng)對體系[N];21世紀(jì)經(jīng)濟(jì)報道;2017年

8 中國青年報·中青在線記者 張茜;70%網(wǎng)絡(luò)安全事件都是人的問題[N];中國青年報;2016年

9 記者 肖瑋 南淄博;我國一年來網(wǎng)絡(luò)安全事件造成915億元損失[N];北京商報;2016年

10 記者 張建新;去年網(wǎng)絡(luò)安全事件發(fā)生率下降24.48%[N];經(jīng)濟(jì)參考報;2016年

相關(guān)博士學(xué)位論文 前3條

1 馬洋明;網(wǎng)絡(luò)安全事件的實(shí)時關(guān)聯(lián)技術(shù)研究[D];華中科技大學(xué);2007年

2 張淑英;網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究[D];吉林大學(xué);2012年

3 劉蘭;網(wǎng)絡(luò)安全事件管理關(guān)鍵技術(shù)研究[D];華中科技大學(xué);2007年

相關(guān)碩士學(xué)位論文 前10條

1 戴雪琴;基于設(shè)備日志的網(wǎng)絡(luò)安全事件管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[D];華中科技大學(xué);2017年

2 王卓然;面向網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的入侵跟蹤與取證[D];東南大學(xué);2017年

3 李肖肖;網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)的生命周期管理[D];東南大學(xué);2018年

4 王鴻運(yùn);網(wǎng)絡(luò)安全事件檢測與融合分析技術(shù)研究[D];哈爾濱工程大學(xué);2017年

5 帥愉燕;網(wǎng)絡(luò)安全事件場景構(gòu)建及推演方法研究[D];哈爾濱工業(yè)大學(xué);2017年

6 盧強(qiáng);網(wǎng)絡(luò)安全事件預(yù)警系統(tǒng)研究[D];天津理工大學(xué);2012年

7 沈雄軍;網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)研究[D];湖北工業(yè)大學(xué);2009年

8 劉云鵬;網(wǎng)絡(luò)安全事件管理關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)[D];北京郵電大學(xué);2011年

9 苑慶濤;網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)研究[D];吉林大學(xué);2007年

10 馮濤;網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)聯(lián)動系統(tǒng)研究[D];西安電子科技大學(xué);2004年

本文編號：2629361