网络安全管理系统中告警融合技术的研究设计

摘要

随着近年来网络的普及，网络攻击和非法访问飞速增长，网络安全的形势日益严峻。为了保证内部网络中的计算机和网络系统的安全，网络管理人员在其内部网络中构建起由防火墙、防病毒服务器、入侵检测系统等众多安全设备组成的防御体系，各类安全设备产生大量各类告警。告警特点有：告警量过大，误警率高；告警信息非常琐碎，于告警的分析和理解比较困难。这样的告警信息直接影响着对攻击的分析和及时响应，也将占用安全管理员的大量的处理时间。大量的重复告警，虚假告警，无意义告警，给网络安全管理带来了极大困难，几乎超过了人力处理的能力极限。
　　 在这个背景下，为有效处理告警信息，告警融合技术开始得到人们的关注。告警融合包括合并重复告警，过滤无意义和错误告警，组合琐碎告警和对告警优先级进行判别等过程，以达到处理后提高告警的信息量和准确率，减少告警量的目的。目前国内外都在进行广泛的研究，并且已经取得了一定的成果。采用概率的方法难以揭示告警之间的关系，并且难点在于需要找出先验概率。采用状态转移的方法需要对每种攻击进行关联，工作量大。采用欧氏距离的方法难于确定阈值。
　　 论文提出的先对告警进行分类，通过分析历史告警数据库得到告警概率和相关数据，进而基于有限状态自动机进行告警融合，最后根据有限状态自动机历经的状态和告警概率相关数据建立贝叶斯网络，计算告警信度的方法，解决了告警融合体系中的一些难题，同时具备对新入侵行为的学习能力。
　　 论文第一章介绍了我国网络发展现状和网络安全形势现状。第二章随后介绍入侵检测技术和告警融合算法的发展。第三章提出了基于有限状态自动机的告警融合机制，给出了告警融合系统的结构。第四章提出了基于贝叶斯网络的告警信度计算机制，在时间窗口选择，告警概率，告警后验概率，构造贝叶斯网络，计算告警信度方面进行大量探讨。第五章在一个局域网络安全管理系统中对告警融合机制进行了简单实现和分析。第六章对告警融合技术的发展进行了总结和展望。

目录

文摘

英文文摘

第一章 绪论

1.1 引 言

1.2 论文研究工作和内容结构

第二章 入侵检测技术和告警融合

2.1 入侵检测系统

2.1.1 网络入侵检测

2.1.2 主机入侵检测

2.1.3 分布式入侵检测

2.2 告警融合

2.2.1 告警融合的需求分析

2.2.2 告警融合技术的发展现状

第三章 基于有限状态自动机的告警融合

3.1 有限状态自动机

3.2 告警定义

3.3 入侵事件与告警归类

3.4 告警过滤

3.4.1 告警归约

3.4.2 有效性过滤

3.4.3 告警过滤结构

3.5 告警关联

3.5.1 告警相互关系

3.5.2 基于有限状态自动机的告警关联模型

3.5.3 实例分析

3.6 告警融合系统结构

3.7 小结

第四章 告警融合的贝叶斯网络和告警信度

4.1 贝叶斯公式和贝叶斯网络

4.1.1 贝叶斯公式

4.1.2 贝叶斯网络

4.2 告警事件概率

4.2.1 概率的频度解释

4.2.2 告警事件概率和时间窗口

4.2.3 告警信度

4.3 针对入侵行为的贝叶斯网络建模

4.3.1 告警概率采集

4.3.2 基于因果关系建立贝叶斯网络

4.3.3 计算告警信度

4.3.4 实例分析

4.4 入侵行为学习

4.5 小结

第五章 告警融合机制的实现与分析

第六章 总结与展望

参考文献

附录

致谢

作者攻读学位期间发表的学术论文目录