网络安全攻击模型与事件关联技术的研究与实现

摘要

随着网络的飞速发展以及社会信息化程度的逐步提高，网络安全问题呈现出多元化、复杂化的趋势，攻击活动向大规模、协同化和多层次方向发展。人们不断地采用防火墙、入侵检测系统、漏洞扫描工具等各种安全设备来监控网络以抵御入侵。当然，这些产品分别在不同的侧面保护着网络系统。然而，各种安全设备相对独立的部署方式，产生了海量的事件报警，其中充斥着大量重复且不可靠的信息，甚至因此形成“报警洪泛”；同时，这些事件往往反映的是低级别的攻击行为，缺乏有效地融合与关联，使得管理员难以识别潜在的威胁，把握全局的安全状况。针对网络中多源异构安全设备的广泛应用及其产生的安全事件难以有效管理的现状，统一网络安全管理被提出并成为网络安全管理领域备受关注的研究热点。 统一网络安全管理平台是集多源数据采集、统一报警评估和事件相关性分析为一体的安全信息及事件管理平台。作为事件相关性分析的核心，一个包括攻击描述、攻击验证、攻击检测、攻击关联、攻击反应等的攻击知识库必不可少。它为各数据源的信息共享和安全事件的关联分析提供知识保障，并直接影响着事件相关性分析的最终效果。然而，目前关于网络安全攻击模型仍然缺乏有效的解决方案。 本文使用安全事件来抽象和描述攻击行为，消除低级别粗粒度报警信息产生的弊端，实现对复杂攻击更加精准、全面的描述；设计了基于XML的层次化关联规则，并保证其实用性、可复用性和可扩展性；采用基于验证的入侵检测，有效地从大量安全事件中准确识别出真实的入侵行为；针对多步骤攻击具有阶段性特点，使用面向场景的攻击推理，构造攻击场景，把握网络的整体安全态势；此外，通过重构攻击轨迹链，进一步发现攻击事件间的内在联系，识别其入侵意图和预测下一步攻击行为。 最后本文在实验环境中搭建管理平台，采用Netpoke重放DARPA数据集，验证了所提出的攻击模型与事件相关性技术的可行性和有效性。

目录

文摘

英文文摘

声明

第一章 绪论

1.1课题背景及意义

1.2国内外研究现状

1.2.1攻击知识建模

1.2.2关联分析相关技术

1.2.3攻击模型的描述方法

1.2.4存在的问题

1.3研究工作介绍与课题目标

1.4论文章节安排

第二章网络安全管理

2.1安全管理概述

2.1.1组成部分

2.1.2基本架构

2.2入侵检测系统

2.2.1 IDS分类及检测原理

2.2.2存在的问题

2.2.3安全事件的融合与关联

2.3统一网络安全管理

2.3.1系统模块

2.3.2主要功能

2.3.3发展趋势

2.4本章小结

第三章网络攻击知识模型

3.1攻击知识建模方法

3.1.1问题描述

3.1.2建模目标

3.2层次化关联规则

3.2.1基本概念

3.2.2攻击模型结构描述

3.2.3实例说明

3.3本章小结

第四章事件关联技术

4.1事件相关性分析

4.1.1相关性分析类型

4.1.2综合关联分析解决方案

4.2基于验证和面向场景的关联分析

4.2.1基于层次化关联规则的关联算法

4.2.2基于验证的入侵检测

4.2.3面向场景的攻击推理

4.2.4场景分析

4.3网络攻击预测

4.3.1攻击轨迹链

4.3.2入侵意图识别

4.4本章小结

第五章实验与测试

5.1实验环境

5.2 DARPA数据集

5.3实验结果分析

第六章结论与展望

6.1全文总结

6.2展望

参考文献

硕士期间发表的论文、参与的项目

致 谢