隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,入侵規(guī)模越來(lái)越大,入侵的手段與技術(shù)也不斷發(fā)展變化,入侵的發(fā)起者和入侵的對(duì)象越來(lái)越趨于分布化。我們很難直接通過(guò)傳統(tǒng)的網(wǎng)絡(luò)安全解決方案獲知入侵者的攻擊意圖。就如何有效識(shí)別入侵者的攻擊意圖,本文將圍繞CERNET（China Education and Research Network,中國(guó)教育科研網(wǎng)）的實(shí)際情況,針對(duì)該問(wèn)題做深入分析,通過(guò)研究與設(shè)計(jì)取證采集、通信活動(dòng)識(shí)別、追蹤結(jié)果融合等方案,為安全分析人員推斷攻擊意圖提供強(qiáng)有力的證據(jù)信息。在取證采集方面,本文實(shí)現(xiàn)了面向多追蹤任務(wù)的取證采集方案。該方案首先完成了追蹤任務(wù)的生命周期管理;然后,設(shè)計(jì)了基于生產(chǎn)者-消費(fèi)者的報(bào)文采集分離方案,將報(bào)文采集和報(bào)文分離解耦。報(bào)文采集模塊使用PF_RING ZC高速報(bào)文捕獲工具捕獲網(wǎng)卡上的報(bào)文,并將流量周期性地采集并存儲(chǔ)在本地磁盤文件中;報(bào)文分離模塊根據(jù)追蹤任務(wù)的采集規(guī)則對(duì)磁盤中的周期報(bào)文文件進(jìn)行離線分離。在通信活動(dòng)識(shí)別方面,本文設(shè)計(jì)并實(shí)現(xiàn)了基于應(yīng)用層協(xié)議分析的通信活動(dòng)識(shí)別方案。該方案基于離線報(bào)文檢測(cè),首先使用入侵檢測(cè)軟件Suricata和協(xié)議分析系統(tǒng)Bro完成對(duì)通信報(bào)... 

【文章來(lái)源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁(yè)數(shù)】：75 頁(yè)

【學(xué)位級(jí)別】：碩士

【部分圖文】：

安全保障系統(tǒng)總體結(jié)構(gòu)圖

第一章緒論3題“高性能網(wǎng)絡(luò)管理與安全保障”下研制的主動(dòng)安全防御原型系統(tǒng)。目前HYDRA系統(tǒng)使用基于SDN(SoftwareDefinedNetwork)[16]的體系結(jié)構(gòu)，利用SDN技術(shù)實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)攻擊的自動(dòng)化響應(yīng)和惡意流量的阻斷工作。本文的研究工作就是在MONSTER（MonitorOnNetworkSecurityandToolforEmergencyResponse，網(wǎng)絡(luò)安全監(jiān)測(cè)與應(yīng)急響應(yīng)系統(tǒng)）系統(tǒng)的基礎(chǔ)上展開(kāi)的，MONSTER系統(tǒng)在下文有詳細(xì)介紹，此處不再贅述�；诎踩Ｕ舷到y(tǒng)，接下來(lái)對(duì)威脅源追蹤的處理流程進(jìn)行介紹，主要涉及CHAIRS系統(tǒng)、HYDRA系統(tǒng)和MONSTER系統(tǒng)間的協(xié)同，威脅源追蹤流程如圖1-2所示。威脅源追蹤流程實(shí)際上包括兩個(gè)處理流程，一個(gè)是元數(shù)據(jù)采集流程，另一個(gè)是威脅源追蹤處理流程。對(duì)于元數(shù)據(jù)采集流程，首先，在HYDRA中手動(dòng)添加元數(shù)據(jù)采集任務(wù)，經(jīng)過(guò)一系列任務(wù)處理后，生成流表規(guī)則下發(fā)到OpenFlow[17]交換機(jī)進(jìn)行交換機(jī)流表項(xiàng)配置[21]，交換機(jī)將流量轉(zhuǎn)發(fā)到MONSTER系統(tǒng)，MONSTER系統(tǒng)對(duì)元數(shù)據(jù)進(jìn)行采集、報(bào)文解析等一系列處理后，將處理結(jié)果存入CHAIRS系統(tǒng)的安全事件庫(kù)。對(duì)于威脅源追蹤處理流程，元數(shù)據(jù)采集處理結(jié)果反饋給CHAIRS安全事件庫(kù)后，在CHAIRS中經(jīng)過(guò)事件富化，判斷威脅源是否正在追蹤，如果不在追蹤則新建追蹤任務(wù)，通知HYDRA啟動(dòng)該任務(wù)，開(kāi)啟追蹤過(guò)程。如果威脅源正在追蹤，則對(duì)追蹤結(jié)果進(jìn)行分析，判斷該威脅源是否可定性，如果不能定性，則繼續(xù)追蹤，如果能定性，則將威脅源信息入庫(kù)，并通知HYDRA停止對(duì)該威脅源的追蹤。圖1-2威脅源追蹤流程圖

東南大學(xué)碩士學(xué)位論文41.2.2MONSTER系統(tǒng)介紹MONSTER系統(tǒng)是在國(guó)家自然科學(xué)基金重大研究計(jì)劃課題“面向大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測(cè)與預(yù)警”(90104031)背景下，由江蘇省計(jì)算機(jī)網(wǎng)絡(luò)重點(diǎn)實(shí)驗(yàn)室進(jìn)行研發(fā)與設(shè)計(jì)實(shí)現(xiàn)的網(wǎng)絡(luò)入侵檢測(cè)和應(yīng)急響應(yīng)系統(tǒng)。經(jīng)過(guò)不斷地改進(jìn)與完善[18][19][20]，目前該系統(tǒng)集成了報(bào)文采集過(guò)濾、取證采集、基于規(guī)則的網(wǎng)絡(luò)入侵檢測(cè)和響應(yīng)等功能，以多核多線程方式高性能地監(jiān)測(cè)主干網(wǎng)上的萬(wàn)兆流量。MONSTER系統(tǒng)現(xiàn)有的系統(tǒng)結(jié)構(gòu)如圖1-3所示。圖1-3現(xiàn)有的MONSTER系統(tǒng)結(jié)構(gòu)圖MONSTER系統(tǒng)主要包括元數(shù)據(jù)采集與檢測(cè)和威脅源追蹤取證兩個(gè)功能模塊。元數(shù)據(jù)采集與檢測(cè)模塊主要包含元數(shù)據(jù)采集、報(bào)文解析、報(bào)文摘要處理、DGA檢測(cè)和Fast-Flux檢測(cè)子模塊。元數(shù)據(jù)采集子模塊用于在被保護(hù)網(wǎng)絡(luò)與CERNET主干網(wǎng)邊界采集應(yīng)用層（DNS、HTTP、IRC）元數(shù)據(jù)，應(yīng)用層元數(shù)據(jù)經(jīng)過(guò)報(bào)文解析子模塊解析產(chǎn)生報(bào)文摘要信息，接著報(bào)文摘要處理子模塊處理報(bào)文摘要信息得到域名及解析IP，最后DGA檢測(cè)子模塊和Fast-Flux子模塊對(duì)域名及解析IP進(jìn)行檢測(cè)，并將檢測(cè)結(jié)果返回給CHAIRS系統(tǒng)。


本文編號(hào)：3468436