论文检索
论文发表
当前位置:主页 > 管理论文 > 移动网络论文 >

安全信息与事件管理关键技术研究

发布时间:2017-10-10 02:11

  本文关键词:安全信息与事件管理关键技术研究


  更多相关文章: 安全信息与事件管理 事件关联 攻击意图 OSSIM 复合攻击


【摘要】:随着安全威胁日益增加,防火墙、漏洞扫描、入侵检测系统、防病毒软件等众多各异的安全设备纷纷部署在网络中。这些安全设备虽然在某些方面或者一定程度上提高了系统的安全性,但是也存在着管理复杂、各自为政、存在大量重复报警和误报等问题,难以应对日趋复杂化、高级化、持续化的高级复合攻击。 安全信息与事件管理(SIEM),是将目标网络中的主机和网络的安全信息,以及其中的安全设备产生的安全事件收集整合,在信息共享的基础上,对采集到的安全信息与事件进行统一的冗余过滤、数据聚合、关联分析,挖掘出正在进行的攻击并做出实时快速的响应,预测安全态势。在安全信息与事件管理中,如何从复杂多样的安全设备产生的大量重复报警中关联出实际的已完成或者正在进行的攻击,从而反映网络的安全状况是其面临的关键问题。 本文对安全信息与事件管理中的关键技术——事件关联进行了深入的研究,提出了基于攻击意图的安全事件关联算法。该算法采用层次化的目标树来表示攻击逻辑关系,将低级报警抽象为攻击意图,将传统的基于攻击行为的攻击事件转化为基于攻击意图的攻击事件,进而与事先建立的分布式网络攻击场景库进行匹配,从而实现基于攻击意图的安全事件关联,从大量嘈杂的安全事件中检测出高级复合攻击。 本文在研究了开源安全信息与事件管理平台OSSIM的基础上,基于该平台改进了基于攻击意图的安全信息与事件管理系统,并模拟实现一次针对小型企业内网的典型高级复合攻击,以对该系统进行测试。测试结果表明,基于攻击意图的安全信息与事件管理系统能够准确地检测到高级复合攻击。
【关键词】:安全信息与事件管理 事件关联 攻击意图 OSSIM 复合攻击
【学位授予单位】:北京邮电大学
【学位级别】:硕士
【学位授予年份】:2015
【分类号】:TP393.08
【目录】:
  • 摘要4-5
  • ABSTRACT5-9
  • 第一章 绪论9-14
  • 1.1 背景及研究意义9-10
  • 1.2 国内外研究现状10-11
  • 1.3 论文的研究内容11-12
  • 1.4 论文的组织结构12-13
  • 1.5 本章小结13-14
  • 第二章 安全信息与事件管理概述14-27
  • 2.1 SIEM定义14-15
  • 2.2 SIEM处理流程15-20
  • 2.2.1 信息采集16-18
  • 2.2.2 数据分析18-20
  • 2.2.3 安全评估20
  • 2.3 SIEM体系结构20-24
  • 2.3.1 集中式体系结构20-21
  • 2.3.2 层次化体系结构21-22
  • 2.3.3 分布式体系结构22
  • 2.3.4 Agent体系结构22-23
  • 2.3.5 体系结构对比23-24
  • 2.4 SIEM产品24-26
  • 2.4.1 IBM QRadar25
  • 2.4.2 AlienVault OSSIM25
  • 2.4.3 HPArcSight25-26
  • 2.4.4 启明星辰TSOC26
  • 2.5 本章小结26-27
  • 第三章 基于攻击意图的安全事件关联27-38
  • 3.1 事件关联方法27-30
  • 3.1.1 统计关联28
  • 3.1.2 因果关联28
  • 3.1.3 模板关联28-29
  • 3.1.4 现有事件关联方法的对比29-30
  • 3.2 基于攻击意图的目标树30-34
  • 3.2.1 基于攻击意图的攻击事件30-32
  • 3.2.2 攻击事件关联规则32
  • 3.2.3 基于目标树的攻击场景32-34
  • 3.3 基于攻击意图的安全事件关联算法34-37
  • 3.3.1 算法思想34-35
  • 3.3.2 算法描述35-37
  • 3.3.3 算法分析37
  • 3.4 本章小结37-38
  • 第四章 基于攻击意图的安全信息与事件管理系统设计38-55
  • 4.1 开源安全信息管理平台OSSIM简介38-42
  • 4.1.1 OSSIM系统框架38-41
  • 4.1.2 OSSIM工作流程41-42
  • 4.1.3 OSSIM缺陷42
  • 4.2 设计思想42-44
  • 4.2.1 信息采集42-43
  • 4.2.2 事件分析43-44
  • 4.3 系统框架44-53
  • 4.3.1 信息采集代理45-47
  • 4.3.2 基于攻击意图的安全事件关联引擎47-51
  • 4.3.3 数据库51-52
  • 4.3.4 Web展示页面52-53
  • 4.4 工作流程53-54
  • 4.5 本章小结54-55
  • 第五章 基于攻击意图的安全信息与事件管理系统实验55-64
  • 5.1 实验环境55-57
  • 5.2 实验过程57-59
  • 5.2.1 高级复合攻击分析57-58
  • 5.2.2 实施高级复合攻击58-59
  • 5.3 实验结果59-62
  • 5.4 实验结果分析62-63
  • 5.5 本章小结63-64
  • 第六章 结束语64-66
  • 6.1 主要研究成果与创新点64-65
  • 6.2 下一步工作65-66
  • 参考文献66-68
  • 致谢68-69
  • 研究生期间发表论文列表69

【参考文献】

中国期刊全文数据库 前4条

1 穆成坡,黄厚宽,田盛丰,林友芳,秦远辉;基于模糊综合评判的入侵检测报警信息处理[J];计算机研究与发展;2005年10期

2 柳亚明;许峰;吕志军;黄皓;;基于攻击意图的报警信息关联研究[J];计算机科学;2005年09期

3 韩宗芬,杨志玲,储杰,涂旭平;一种用于网络安全系统的报警聚类与关联模型[J];计算机工程与科学;2005年10期

4 严芬;黄皓;殷新春;;基于CTPN的复合攻击检测方法研究[J];计算机学报;2006年08期



本文编号:1003731

资料下载
论文发表

本文链接:https://www.wllwen.com/guanlilunwen/ydhl/1003731.html

上一篇:网络入侵搅动下的网络失稳控制方法研究  
下一篇:一种改进的多路径路由探测算法
论文发表
最近更新
教材专著
热点文章

Copyright(c)文论论文网All Rights Reserved | 网站地图 |

版权申明:资料由用户485fc***提供,本站仅收录摘要或目录,作者需要删除请E-mail邮箱bigeng88@qq.com