隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡(luò)規(guī)模的不斷擴(kuò)大,網(wǎng)絡(luò)安全問題給日常生活和企業(yè)運(yùn)營等帶來了嚴(yán)重挑戰(zhàn)。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)通過收集多源安全信息,經(jīng)過歸一化預(yù)處理、安全事件驗(yàn)證及聚合和攻擊場景重構(gòu)若干步驟約減冗余警報(bào)、剔除虛假警報(bào),通過建立算法模型重現(xiàn)攻擊場景,是態(tài)勢(shì)感知研究領(lǐng)域的核心模塊,具有重要的研究價(jià)值。為此,本研究設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于知識(shí)圖譜的分布式安全事件關(guān)聯(lián)分析系統(tǒng),構(gòu)建了網(wǎng)絡(luò)安全知識(shí)圖譜,在圖譜的基礎(chǔ)上設(shè)計(jì)了關(guān)聯(lián)分析算法,并將算法并行化實(shí)現(xiàn)了分布式關(guān)聯(lián)分析系統(tǒng)。主要工作有以下幾個(gè)方面:1、設(shè)計(jì)了一個(gè)網(wǎng)絡(luò)安全知識(shí)圖譜模型,包括基礎(chǔ)資產(chǎn)維、漏洞維、威脅維、報(bào)警維四個(gè)維度。分別定義了每個(gè)維度的實(shí)體屬性構(gòu)成,然后通過抽取多源開源安全知識(shí),包括已經(jīng)披露的漏洞庫,系統(tǒng)軟件版本庫、公共攻擊模式分類庫,入侵檢測(cè)系統(tǒng)報(bào)警信息庫來填充每個(gè)維度實(shí)體模型。并且通過尋找各個(gè)維度之間的關(guān)聯(lián)關(guān)系融合所有維度構(gòu)建一個(gè)完整的網(wǎng)絡(luò)安全知識(shí)圖譜,圖譜構(gòu)建工具使用Neo4j圖數(shù)據(jù)庫。2、在已經(jīng)實(shí)現(xiàn)的網(wǎng)絡(luò)安全知識(shí)圖譜的基礎(chǔ)上設(shè)計(jì)實(shí)現(xiàn)了一種基于場景匹配的安全事件關(guān)聯(lián)分析方法。整個(gè)關(guān)聯(lián)過程包括安全事件預(yù)處理、安全事件驗(yàn)證以及...

【文章頁數(shù)】：66 頁

【學(xué)位級(jí)別】：碩士

【部分圖文】：

圖2.2IDMEF數(shù)據(jù)模型

國防科技大學(xué)研究生院碩士學(xué)位論文用于收集來自多源IDS產(chǎn)生的報(bào)警日志信息。通常一個(gè)安需要部署大量的IDS，這些IDS通常會(huì)在各自指定的位置產(chǎn)知系統(tǒng)通過部署若干agent到每一臺(tái)主機(jī)用于實(shí)時(shí)收集報(bào)警日志采集系統(tǒng)，如Flume日志采集系統(tǒng)，通過在Flume中很容....

圖3.1知識(shí)圖譜構(gòu)建流程

比較知識(shí)圖譜與傳統(tǒng)的知識(shí)庫，他們的共同點(diǎn)都有實(shí)體、關(guān)系及屬性幾個(gè)重要組成元素。類比于關(guān)系型數(shù)據(jù)庫，實(shí)體在知識(shí)圖譜中是以一個(gè)圖狀數(shù)據(jù)結(jié)構(gòu)中的節(jié)點(diǎn)的形式存在，例如“iPhoneX”，而在關(guān)系型數(shù)據(jù)庫中一個(gè)實(shí)體則對(duì)應(yīng)數(shù)據(jù)表中一行記錄。對(duì)于每一個(gè)實(shí)體知識(shí)圖譜與知識(shí)庫中都存在若干屬性，屬....

圖3.3NVD提供的漏洞庫描述NVD官方提供了XML、JSON等格式的漏洞數(shù)據(jù)集，這里使用XML的組織

病毒等手段跨過安全設(shè)備從而控制主機(jī)，并且非法獲取密碼等機(jī)要信息，甚至摧毀一個(gè)公司或組織的整個(gè)局域網(wǎng)服務(wù)器，使得無法正常對(duì)外提供服務(wù)。漏洞經(jīng)常作為攻擊者發(fā)動(dòng)攻擊的重要依據(jù)，通過分析將安全事件與存在的漏洞進(jìn)行關(guān)聯(lián)，是一條非常重要的感知網(wǎng)絡(luò)安全狀況的途徑。目前國內(nèi)外都有組織機(jī)構(gòu)維護(hù)一套....

圖3.4NVD提供的CPE描述信息NVD官方提供了XML壓縮包形式的平臺(tái)配置項(xiàng)數(shù)據(jù)集，在抽取漏洞實(shí)體之前

圖3.4NVD提供的CPE描述信息NVD官方提供了XML壓縮包形式的平臺(tái)配置項(xiàng)數(shù)據(jù)集，在抽取漏洞實(shí)體之前首先定義漏洞實(shí)體屬性。一個(gè)CPE實(shí)體包括提供商、產(chǎn)品、版本號(hào)、目標(biāo)軟件、語言等屬性信息。表3.2是通過分析CPE字段信息選取出的作為CPE實(shí)體所....

本文編號(hào)：3906307