隨著網(wǎng)絡(luò)技術(shù)的發(fā)展,入侵規(guī)模越來越大,入侵的手段與技術(shù)也不斷發(fā)展變化,入侵的發(fā)起者和入侵的對象越來越趨于分布化。我們很難直接通過傳統(tǒng)的網(wǎng)絡(luò)安全解決方案獲知入侵者的攻擊意圖。就如何有效識別入侵者的攻擊意圖,本文將圍繞CERNET（China Education and Research Network,中國教育科研網(wǎng)）的實際情況,針對該問題做深入分析,通過研究與設(shè)計取證采集、通信活動識別、追蹤結(jié)果融合等方案,為安全分析人員推斷攻擊意圖提供強有力的證據(jù)信息。在取證采集方面,本文實現(xiàn)了面向多追蹤任務(wù)的取證采集方案。該方案首先完成了追蹤任務(wù)的生命周期管理;然后,設(shè)計了基于生產(chǎn)者-消費者的報文采集分離方案,將報文采集和報文分離解耦。報文采集模塊使用PF_RING ZC高速報文捕獲工具捕獲網(wǎng)卡上的報文,并將流量周期性地采集并存儲在本地磁盤文件中;報文分離模塊根據(jù)追蹤任務(wù)的采集規(guī)則對磁盤中的周期報文文件進(jìn)行離線分離。在通信活動識別方面,本文設(shè)計并實現(xiàn)了基于應(yīng)用層協(xié)議分析的通信活動識別方案。該方案基于離線報文檢測,首先使用入侵檢測軟件Suricata和協(xié)議分析系統(tǒng)Bro完成對通信報... 

【文章來源】：東南大學(xué)江蘇省 211工程院校 985工程院校 教育部直屬院校

【文章頁數(shù)】：75 頁

【學(xué)位級別】：碩士

【部分圖文】：

安全保障系統(tǒng)總體結(jié)構(gòu)圖

第一章緒論3題“高性能網(wǎng)絡(luò)管理與安全保障”下研制的主動安全防御原型系統(tǒng)。目前HYDRA系統(tǒng)使用基于SDN(SoftwareDefinedNetwork)[16]的體系結(jié)構(gòu)，利用SDN技術(shù)實現(xiàn)對網(wǎng)絡(luò)攻擊的自動化響應(yīng)和惡意流量的阻斷工作。本文的研究工作就是在MONSTER（MonitorOnNetworkSecurityandToolforEmergencyResponse，網(wǎng)絡(luò)安全監(jiān)測與應(yīng)急響應(yīng)系統(tǒng)）系統(tǒng)的基礎(chǔ)上展開的，MONSTER系統(tǒng)在下文有詳細(xì)介紹，此處不再贅述�；诎踩Ｕ舷到y(tǒng)，接下來對威脅源追蹤的處理流程進(jìn)行介紹，主要涉及CHAIRS系統(tǒng)、HYDRA系統(tǒng)和MONSTER系統(tǒng)間的協(xié)同，威脅源追蹤流程如圖1-2所示。威脅源追蹤流程實際上包括兩個處理流程，一個是元數(shù)據(jù)采集流程，另一個是威脅源追蹤處理流程。對于元數(shù)據(jù)采集流程，首先，在HYDRA中手動添加元數(shù)據(jù)采集任務(wù)，經(jīng)過一系列任務(wù)處理后，生成流表規(guī)則下發(fā)到OpenFlow[17]交換機(jī)進(jìn)行交換機(jī)流表項配置[21]，交換機(jī)將流量轉(zhuǎn)發(fā)到MONSTER系統(tǒng)，MONSTER系統(tǒng)對元數(shù)據(jù)進(jìn)行采集、報文解析等一系列處理后，將處理結(jié)果存入CHAIRS系統(tǒng)的安全事件庫。對于威脅源追蹤處理流程，元數(shù)據(jù)采集處理結(jié)果反饋給CHAIRS安全事件庫后，在CHAIRS中經(jīng)過事件富化，判斷威脅源是否正在追蹤，如果不在追蹤則新建追蹤任務(wù)，通知HYDRA啟動該任務(wù)，開啟追蹤過程。如果威脅源正在追蹤，則對追蹤結(jié)果進(jìn)行分析，判斷該威脅源是否可定性，如果不能定性，則繼續(xù)追蹤，如果能定性，則將威脅源信息入庫，并通知HYDRA停止對該威脅源的追蹤。圖1-2威脅源追蹤流程圖

東南大學(xué)碩士學(xué)位論文41.2.2MONSTER系統(tǒng)介紹MONSTER系統(tǒng)是在國家自然科學(xué)基金重大研究計劃課題“面向大規(guī)模網(wǎng)絡(luò)的分布式入侵檢測與預(yù)警”(90104031)背景下，由江蘇省計算機(jī)網(wǎng)絡(luò)重點實驗室進(jìn)行研發(fā)與設(shè)計實現(xiàn)的網(wǎng)絡(luò)入侵檢測和應(yīng)急響應(yīng)系統(tǒng)。經(jīng)過不斷地改進(jìn)與完善[18][19][20]，目前該系統(tǒng)集成了報文采集過濾、取證采集、基于規(guī)則的網(wǎng)絡(luò)入侵檢測和響應(yīng)等功能，以多核多線程方式高性能地監(jiān)測主干網(wǎng)上的萬兆流量。MONSTER系統(tǒng)現(xiàn)有的系統(tǒng)結(jié)構(gòu)如圖1-3所示。圖1-3現(xiàn)有的MONSTER系統(tǒng)結(jié)構(gòu)圖MONSTER系統(tǒng)主要包括元數(shù)據(jù)采集與檢測和威脅源追蹤取證兩個功能模塊。元數(shù)據(jù)采集與檢測模塊主要包含元數(shù)據(jù)采集、報文解析、報文摘要處理、DGA檢測和Fast-Flux檢測子模塊。元數(shù)據(jù)采集子模塊用于在被保護(hù)網(wǎng)絡(luò)與CERNET主干網(wǎng)邊界采集應(yīng)用層（DNS、HTTP、IRC）元數(shù)據(jù)，應(yīng)用層元數(shù)據(jù)經(jīng)過報文解析子模塊解析產(chǎn)生報文摘要信息，接著報文摘要處理子模塊處理報文摘要信息得到域名及解析IP，最后DGA檢測子模塊和Fast-Flux子模塊對域名及解析IP進(jìn)行檢測，并將檢測結(jié)果返回給CHAIRS系統(tǒng)。


本文編號：3468436