基于知识图谱的分布式安全事件关联分析技术研究

发布时间：2024-02-22 03:13

　　随着互联网的快速发展,网络规模的不断扩大,网络安全问题给日常生活和企业运营等带来了严重挑战。网络安全事件关联分析技术通过收集多源安全信息,经过归一化预处理、安全事件验证及聚合和攻击场景重构若干步骤约减冗余警报、剔除虚假警报,通过建立算法模型重现攻击场景,是态势感知研究领域的核心模块,具有重要的研究价值。为此,本研究设计并实现了一个基于知识图谱的分布式安全事件关联分析系统,构建了网络安全知识图谱,在图谱的基础上设计了关联分析算法,并将算法并行化实现了分布式关联分析系统。主要工作有以下几个方面:1、设计了一个网络安全知识图谱模型,包括基础资产维、漏洞维、威胁维、报警维四个维度。分别定义了每个维度的实体属性构成,然后通过抽取多源开源安全知识,包括已经披露的漏洞库,系统软件版本库、公共攻击模式分类库,入侵检测系统报警信息库来填充每个维度实体模型。并且通过寻找各个维度之间的关联关系融合所有维度构建一个完整的网络安全知识图谱,图谱构建工具使用Neo4j图数据库。2、在已经实现的网络安全知识图谱的基础上设计实现了一种基于场景匹配的安全事件关联分析方法。整个关联过程包括安全事件预处理、安全事件验证以及...

【文章页数】：66 页

【学位级别】：硕士

【部分图文】：

图2.2IDMEF数据模型

国防科技大学研究生院硕士学位论文用于收集来自多源IDS产生的报警日志信息。通常一个安需要部署大量的IDS，这些IDS通常会在各自指定的位置产知系统通过部署若干agent到每一台主机用于实时收集报警日志采集系统，如Flume日志采集系统，通过在Flume中很容....

图3.1知识图谱构建流程

比较知识图谱与传统的知识库，他们的共同点都有实体、关系及属性几个重要组成元素。类比于关系型数据库，实体在知识图谱中是以一个图状数据结构中的节点的形式存在，例如“iPhoneX”，而在关系型数据库中一个实体则对应数据表中一行记录。对于每一个实体知识图谱与知识库中都存在若干属性，属....

图3.3NVD提供的漏洞库描述NVD官方提供了XML、JSON等格式的漏洞数据集，这里使用XML的组织

病毒等手段跨过安全设备从而控制主机，并且非法获取密码等机要信息，甚至摧毁一个公司或组织的整个局域网服务器，使得无法正常对外提供服务。漏洞经常作为攻击者发动攻击的重要依据，通过分析将安全事件与存在的漏洞进行关联，是一条非常重要的感知网络安全状况的途径。目前国内外都有组织机构维护一套....

图3.4NVD提供的CPE描述信息NVD官方提供了XML压缩包形式的平台配置项数据集，在抽取漏洞实体之前

图3.4NVD提供的CPE描述信息NVD官方提供了XML压缩包形式的平台配置项数据集，在抽取漏洞实体之前首先定义漏洞实体属性。一个CPE实体包括提供商、产品、版本号、目标软件、语言等属性信息。表3.2是通过分析CPE字段信息选取出的作为CPE实体所....

本文编号：3906307