面向网络安全事件应急响应的入侵跟踪与取证

摘要

“十一五”“211工程”在CERNET网络中心和38个核心节点上建设了高性能网络管理与网络安全保障系统。HYDRA系统为安全保障体系下的主动安全防御原型系统，利用SDN实现对网络攻击自动化响应和恶意样本采集的工作;MONSTER为安全保障体系下的网络入侵检测和响应系统，集成了应急采集、元数据采集、基于规则的网络入侵检测等功能。为满足网络安全事件应急响应处理的新需求，本文实现MONSTER与HYDRA系统的集成，并对原有MONSTER系统进行了功能上的重构，增加取证采集和入侵跟踪，同时综合自动响应技术和多核处理器下并行化程序设计的相关技术要点，提升安全事件响应的整体效率。
　　MONSTER和HYDRA系统的集成设计是论文研究工作的基础，本文把系统的集成设计分为了功能集成、架构集成和数据集成。在功能集成方面，完成了两个系统原有功能的选择和合并，明确了集成系统的功能组件划分;在架构集成方面，对两个系统原有的控制流进行了分析，并统一到一个控制流中，同时明确了系统组件间的依赖关系，最后明确了集成系统的架构图;在数据集成方面，对原有两个系统的数据流进行了分析和集成，并对共享的数据部分实现数据格式的统一。
　　在取证采集方而，本文实现了面向多Ⅱ向应任务的取证采集方案，该方案首先完成了响应任务的生命周期管理和调度，在其内使用了多级队列调度策略并结合线程池技术，进行并发的作业执行，其次，利用OpenFlow交换机的流表对网络流量进行预筛选和相关过滤，降低系统的性能负载，同时使用高速报文捕获工具PF_RING DNA，充分增加网卡的报文捕获能力，然后将多线程绑定在CPU多核上并发的采集报文，并根据采集规则对报文进行分类筛选，将匹配采集规则的报文写入共享缓冲区，最后对共享缓冲区内的报文完成时间排序和存储。
　　在入侵跟踪方面，本文设计了基于应用层语义分析的入侵跟踪方案，该方案基于离线报文检测，首先使用Suricata和Bro完成对报文的检测，然后对检测日志进行预处理和格式化，最后对警报和协议活动日志进行警报日志语义分析得到案件的追踪结果。追踪结果包含IDS融合警报、网络行为频度分析结果和协议活动语义抽取结果。
　　最后，论文对系统进行了性能测试，并以安全保障系统实际的案例进行取证采集和入侵跟踪的功能的验证和详细说明。实验结果表明，本文实现的取证采集和入侵跟踪功能有效的保证安全事件响应的及时性和正确性。

目录

声明

摘要

第一章绪论

1．1引言

1．2相关系统介绍

1．2．1 分布式网络应急管理系统CHAIRS

1．2．2主动安全防御原型系统HYDRA

1．3网络安全监测与应急响应系统MONSTER

1．4论文研究目标和内容

1．5论文组织结构

第二章系统的集成设计

2．1需求分析

2．1．1系统集成背景介绍

2．1．2系统需求

2．2功能集成

2．3架构集成

2．4数据集成

2．4．1响应任务脚本设计

2．4．2任务库和作业库设计

2．4本章小结

第三章面向多响应任务的取证采集

3．1网络取证

3．2取证采集需求分析

3．3取证采集设计思路

3．4取证采集总控节点设计与实现

3．4．1取证采集作业的管理与调度

3．4．2取证采集规则

3．4．3取证采集结果

3．5交换机控制节点设计与实现

3．6采集存储节点设计与实现

3．6．1取证报文捕获和分类

3．6．2取证报文存储

3．7本章小结

第四章基于应用层语义分析的入侵跟踪

4．1协议分析技术

4．1．1 Suricata应用层协议检测

4．1．2 Bro动态协议检测

4．2入侵跟踪需求分析

4．3入侵跟踪设计思路

4．4入侵跟踪总控节点设计与实现

4．5入侵跟踪执行节点设计与实现

4．5．1检测日志预处理模块设计与实现

4．5．2警报日志语义分析模块设计与实现

4．7本章小结

5．1测试环境介绍

5．2性能测试

5．3案例分析

5．4本章小结

6．1工作总结

6．2研究展望

致谢

参考文献

附录

作者简介