网络安全事件应急响应的生命周期管理

发布时间：2020-04-16 04:01

【摘要】：随着互联网普及和信息技术的快速发展,网络攻击类型也变得复杂多样,安全形势日益严峻。因此为了保障网络安全,事件应急响应成为网络安全体系结构中不可或缺的重要环节,如何建立有效的计算机网络安全应急响应机制,成为研究的热点和重点。本文在现有的分布式应急响应管理系统CHAIRS(Cooperative Hybrid Aided Incidence Response System)的基础上,研究威胁信息的交换标准,对CHAIRS进行基于结构化威胁信息表达(STIX)的设计和应用,使得CHAIRS的案件信息、响应步骤和页面展示部分符合标准格式的表达,并实现在该标准表达下CHAIRS案件响应过程的自动化。同时支持STIX数据对象的标准格式输出,实现信息的交换和共享,提高响应的效率和准确性,保障网络安全。为使得CHAIRS案件信息标准化,论文研究了目前国内外成熟且应用广泛的威胁信息标准,对比分析各个标准的利弊和适用场景,并综合考虑CHAIRS的实际需求,最终选择基于STIX对CHAIRS案件信息组织结构进行设计。本文详细分析STIX数据对象在CHAIRS的存在形式和各个属性之间的映射关系,确保CHAIRS满足威胁信息的表达标准。在实现基于STIX的CHAIRS案件信息结构改进的基础上,本文实现了响应步骤的标准化和响应流程的自动化。通过分析和对比STIX中Course Of Action数据对象与CHAIRS响应步骤的异同,来标准化响应步骤的信息表达。然后研究应用STIX标准后的自动化响应流程。本文的自动化设计是在CHAIRS静态模板的基础上,对静态模板中的多个响应步骤解耦,并把输入、接口地址和配置等信息参数化,使得各个功能模块相对独立。这种低耦合的可配置模板,能够大大提高模板的灵活性和兼容性,提高案件响应的自动化程度。另外,为基于STIX的案件自动响应提供数据源的支持,本文设计并实现了汇聚各个检测系统结果的安全事件库。为了兼容多源异构的数据格式,并满足CHAIRS的使用性能需求,本文对比分析关系型和非关系型数据库(NoSQL),最终选择No SQL中的MongoDB来实现。同时为了保证可靠数据传输,采用基于TCP的Socket通信方式。最后本文以CC控制器的自动追踪为例,验证应用STIX标准之后,案件自动响应的实现效果。论文最后对将来的应急响应进行了展望,指出关联性分析和取证报文结果分析的深入研究,将对提高应急响应效率产生重大的意义。
【图文】：

地区网络中心以及地区主结点负责地区网的运行管理和建设规划，分别设在清华大大学等 10 所高校。而省级结点分别设在全国 36 个城市的 38 所大学。在 CERNET 成立的二十多年里，国家高度重视 CERNET 发展和管理。在“十五”211CERNET 主干网的运营安全基本保障系统基础上，，“十一五”211 工程在 CERNET 网络个主节点上建立高性能网络管理与安全保障系统，对部署在 CERNET 与其他网络互联（包国内联接）接口上以及 CERNET 主干网与各节点接入网接口上的分布式网络流量行为监测造升级，维持对网络流量实时监控的能力。该项目旨在开发 CERNET 网络服务质量监控系网上的异常行为监测系统，并建立健全事件应急响应协同服务系统，从而形成对 CERNET全、稳定、可靠运行的保障。1.2.2 分布式应急响应系统CHAIRS （Cooperative Hybrid Aided Incidence Response System，分布式网络应急响应是 CERNET 下的应急响应协同服务系统[8-10]，主要是为 CERNET 网络中心以及各主干节点理人员提供应急响应辅助功能，帮助安全管理人员快速、便捷、有效的处理事件，提升事率。CHAIRS 的系统功能结构如下图 1. 1 所示：

东南大学硕士学位论文撑环境的协同系统包括 NOBS、IPCIS、MONSETER、HYDRA 等系统，它们分别息库管理、IP 归属及 IP 使用地理位置管理、报文采集及分析等功能。详细etwork Behavior Observation System，网络行为观测系统）是用于监控和管理和网络安全状态的新型网络管理系统[17]。它基于流记录（兼容 NetFlow）以络的基础运行数据。NOBS 通过分析所采集数据流，发现异常流量和攻击行提取出来，形成原始的事件，这是 CHAIRS 的数据源之一。R（Monitor On Network Security and Tool for Emergency Response， 网络安是以监听方式工作在 CERNET 主干网上的网络入侵检测系统[18]， 该系统侵检测、应急采集、取证分析和系统运行管理等功能。功能结构图如下图
【学位授予单位】：东南大学
【学位级别】：硕士
【学位授予年份】：2018
【分类号】：TP393.08

【相似文献】

相关期刊论文 前10条

1 ;国际安全研究开源大数据·全球网络安全事件报告频次统计(2009-2016年)[J];国际安全研究;2017年02期

2 刘阳;;美国发布《网络安全事件恢复指南》[J];保密科学技术;2017年05期

3 杜媛媛;;关于网络安全事件应急响应联动系统的研究[J];无线互联科技;2017年09期

4 ;中央网信办印发《国家网络安全事件应急预案》[J];中国应急管理;2017年06期

5 本刊编辑部;;中央网信办发布《国家网络安全事件应急预案》[J];中国信息安全;2017年07期

6 杨洋;;网络安全事件关联分析技术分析[J];网络安全技术与应用;2017年08期

7 ;从勒索病毒看网络安全事件应急响应[J];中国信息安全;2017年07期

8 ;网络安全事件分为四级[J];青年记者;2017年19期

9 ;事件[J];保密工作;2017年07期

10 ;国家计算机网络应急技术处理协调中心四川分中心关于四川省一般网络安全事件的通报[J];通信与信息技术;2015年06期

相关会议论文 前10条

1 朱双华;周芳;;一种基于插件的网络安全事件采集方法[A];2014第二届中国指挥控制大会论文集（下）[C];2014年

2 庄建儿;顾碧波;陆坤良;;浅谈信息网络安全事件的应急响应[A];第二届全国信息安全等级保护技术大会会议论文集[C];2013年

3 李英楠;张宏莉;云晓春;方滨兴;;基于网络拓扑的网络安全事件宏观预警与响应分析技术[A];全国网络与信息安全技术研讨会’2004论文集[C];2004年

4 杜跃进;;大规模突发网络安全事件的宏观控制[A];科技、工程与经济社会协调发展——中国科协第五届青年学术年会论文集[C];2004年

5 王劲松;卢强;张洪豪;石凯;张龙;;大规模网络安全事件监控系统设计与实现[A];第26次全国计算机安全学术交流会论文集[C];2011年

6 王雯霞;贾焰;韩伟红;徐镜湖;郑黎明;;一种网络安全事件关联分析的专家系统研究[A];第26次全国计算机安全学术交流会论文集[C];2011年

7 曾柯达;杨树强;韩伟红;郑黎明;徐镜湖;;基于推理机的网络安全事件关联分析研究及实现[A];全国计算机安全学术交流会论文集·第二十五卷[C];2010年

8 穆祥昆;赵晨飞;霍英东;唐召东;;基于云架构的网络安全事件监测系统研究[A];第28次全国计算机安全学术交流会论文集[C];2013年

9 刘雪娇;肖德宝;常亚楠;陈历淼;;网络安全事件管理的综合关联分析解决方案[A];2007通信理论与技术新发展——第十二届全国青年通信学术会议论文集（下册）[C];2007年

10 李浩田;牛少彰;;AHP层次化分析方法在网络应急预案中的应用[A];2009全国计算机网络与通信学术会议论文集[C];2009年

相关重要报纸文章 前10条

1 张昊;Windows XP：择日再死[N];经济观察报;2014年

2 本报见习记者 钱林浩;网络安全事件频发 保险作用不容忽视[N];金融时报;2018年

3 记者 何春中;我国信息网络安全事件发生比例连续3年上升[N];中国青年报;2007年

4 本报记者 李春莲;志翔科技伍海桑：未来网络安全事件会越来越多[N];证券日报;2018年

5 本报记者 叶晨晖;数字时代网络安全事件频发 互联网国际合作亟待互信共治[N];通信信息报;2018年

6 Fahmida Y.Rashid InfoWorld资深作家 编译 charles;为什么2017年将是安全最糟糕的一年[N];计算机世界;2017年

7 本报记者 王峰;新一轮勒索病毒再袭 中国搭建多层次预警应对体系[N];21世纪经济报道;2017年

8 中国青年报·中青在线记者 张茜;70%网络安全事件都是人的问题[N];中国青年报;2016年

9 记者 肖玮 南淄博;我国一年来网络安全事件造成915亿元损失[N];北京商报;2016年

10 记者 张建新;去年网络安全事件发生率下降24.48%[N];经济参考报;2016年

相关博士学位论文 前3条

1 马洋明;网络安全事件的实时关联技术研究[D];华中科技大学;2007年

2 张淑英;网络安全事件关联分析与态势评测技术研究[D];吉林大学;2012年

3 刘兰;网络安全事件管理关键技术研究[D];华中科技大学;2007年

相关硕士学位论文 前10条

1 戴雪琴;基于设备日志的网络安全事件管理系统的设计与实现[D];华中科技大学;2017年

2 王卓然;面向网络安全事件应急响应的入侵跟踪与取证[D];东南大学;2017年

3 李肖肖;网络安全事件应急响应的生命周期管理[D];东南大学;2018年

4 王鸿运;网络安全事件检测与融合分析技术研究[D];哈尔滨工程大学;2017年

5 帅愉燕;网络安全事件场景构建及推演方法研究[D];哈尔滨工业大学;2017年

6 卢强;网络安全事件预警系统研究[D];天津理工大学;2012年

7 沈雄军;网络安全事件应急响应联动系统研究[D];湖北工业大学;2009年

8 刘云鹏;网络安全事件管理关键技术的研究与实现[D];北京邮电大学;2011年

9 苑庆涛;网络安全事件应急响应联动系统研究[D];吉林大学;2007年

10 冯涛;网络安全事件应急响应联动系统研究[D];西安电子科技大学;2004年

本文编号：2629361