基于多源数据关联分析的攻击意图推断
发布时间:2021-10-31 16:03
随着网络技术的发展,入侵规模越来越大,入侵的手段与技术也不断发展变化,入侵的发起者和入侵的对象越来越趋于分布化。我们很难直接通过传统的网络安全解决方案获知入侵者的攻击意图。就如何有效识别入侵者的攻击意图,本文将围绕CERNET(China Education and Research Network,中国教育科研网)的实际情况,针对该问题做深入分析,通过研究与设计取证采集、通信活动识别、追踪结果融合等方案,为安全分析人员推断攻击意图提供强有力的证据信息。在取证采集方面,本文实现了面向多追踪任务的取证采集方案。该方案首先完成了追踪任务的生命周期管理;然后,设计了基于生产者-消费者的报文采集分离方案,将报文采集和报文分离解耦。报文采集模块使用PFRING ZC高速报文捕获工具捕获网卡上的报文,并将流量周期性地采集并存储在本地磁盘文件中;报文分离模块根据追踪任务的采集规则对磁盘中的周期报文文件进行离线分离。在通信活动识别方面,本文设计并实现了基于应用层协议分析的通信活动识别方案。该方案基于离线报文检测,首先使用入侵检测软件Suricata和协议分析系统Bro完成对通信报...
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
安全保障系统总体结构图
第一章绪论3题“高性能网络管理与安全保障”下研制的主动安全防御原型系统。目前HYDRA系统使用基于SDN(SoftwareDefinedNetwork)[16]的体系结构,利用SDN技术实现对网络攻击的自动化响应和恶意流量的阻断工作。本文的研究工作就是在MONSTER(MonitorOnNetworkSecurityandToolforEmergencyResponse,网络安全监测与应急响应系统)系统的基础上展开的,MONSTER系统在下文有详细介绍,此处不再赘述。基于安全保障系统,接下来对威胁源追踪的处理流程进行介绍,主要涉及CHAIRS系统、HYDRA系统和MONSTER系统间的协同,威胁源追踪流程如图1-2所示。威胁源追踪流程实际上包括两个处理流程,一个是元数据采集流程,另一个是威胁源追踪处理流程。对于元数据采集流程,首先,在HYDRA中手动添加元数据采集任务,经过一系列任务处理后,生成流表规则下发到OpenFlow[17]交换机进行交换机流表项配置[21],交换机将流量转发到MONSTER系统,MONSTER系统对元数据进行采集、报文解析等一系列处理后,将处理结果存入CHAIRS系统的安全事件库。对于威胁源追踪处理流程,元数据采集处理结果反馈给CHAIRS安全事件库后,在CHAIRS中经过事件富化,判断威胁源是否正在追踪,如果不在追踪则新建追踪任务,通知HYDRA启动该任务,开启追踪过程。如果威胁源正在追踪,则对追踪结果进行分析,判断该威胁源是否可定性,如果不能定性,则继续追踪,如果能定性,则将威胁源信息入库,并通知HYDRA停止对该威胁源的追踪。图1-2威胁源追踪流程图
东南大学硕士学位论文41.2.2MONSTER系统介绍MONSTER系统是在国家自然科学基金重大研究计划课题“面向大规模网络的分布式入侵检测与预警”(90104031)背景下,由江苏省计算机网络重点实验室进行研发与设计实现的网络入侵检测和应急响应系统。经过不断地改进与完善[18][19][20],目前该系统集成了报文采集过滤、取证采集、基于规则的网络入侵检测和响应等功能,以多核多线程方式高性能地监测主干网上的万兆流量。MONSTER系统现有的系统结构如图1-3所示。图1-3现有的MONSTER系统结构图MONSTER系统主要包括元数据采集与检测和威胁源追踪取证两个功能模块。元数据采集与检测模块主要包含元数据采集、报文解析、报文摘要处理、DGA检测和Fast-Flux检测子模块。元数据采集子模块用于在被保护网络与CERNET主干网边界采集应用层(DNS、HTTP、IRC)元数据,应用层元数据经过报文解析子模块解析产生报文摘要信息,接着报文摘要处理子模块处理报文摘要信息得到域名及解析IP,最后DGA检测子模块和Fast-Flux子模块对域名及解析IP进行检测,并将检测结果返回给CHAIRS系统。
本文编号:3468436
【文章来源】:东南大学江苏省 211工程院校 985工程院校 教育部直属院校
【文章页数】:75 页
【学位级别】:硕士
【部分图文】:
安全保障系统总体结构图
第一章绪论3题“高性能网络管理与安全保障”下研制的主动安全防御原型系统。目前HYDRA系统使用基于SDN(SoftwareDefinedNetwork)[16]的体系结构,利用SDN技术实现对网络攻击的自动化响应和恶意流量的阻断工作。本文的研究工作就是在MONSTER(MonitorOnNetworkSecurityandToolforEmergencyResponse,网络安全监测与应急响应系统)系统的基础上展开的,MONSTER系统在下文有详细介绍,此处不再赘述。基于安全保障系统,接下来对威胁源追踪的处理流程进行介绍,主要涉及CHAIRS系统、HYDRA系统和MONSTER系统间的协同,威胁源追踪流程如图1-2所示。威胁源追踪流程实际上包括两个处理流程,一个是元数据采集流程,另一个是威胁源追踪处理流程。对于元数据采集流程,首先,在HYDRA中手动添加元数据采集任务,经过一系列任务处理后,生成流表规则下发到OpenFlow[17]交换机进行交换机流表项配置[21],交换机将流量转发到MONSTER系统,MONSTER系统对元数据进行采集、报文解析等一系列处理后,将处理结果存入CHAIRS系统的安全事件库。对于威胁源追踪处理流程,元数据采集处理结果反馈给CHAIRS安全事件库后,在CHAIRS中经过事件富化,判断威胁源是否正在追踪,如果不在追踪则新建追踪任务,通知HYDRA启动该任务,开启追踪过程。如果威胁源正在追踪,则对追踪结果进行分析,判断该威胁源是否可定性,如果不能定性,则继续追踪,如果能定性,则将威胁源信息入库,并通知HYDRA停止对该威胁源的追踪。图1-2威胁源追踪流程图
东南大学硕士学位论文41.2.2MONSTER系统介绍MONSTER系统是在国家自然科学基金重大研究计划课题“面向大规模网络的分布式入侵检测与预警”(90104031)背景下,由江苏省计算机网络重点实验室进行研发与设计实现的网络入侵检测和应急响应系统。经过不断地改进与完善[18][19][20],目前该系统集成了报文采集过滤、取证采集、基于规则的网络入侵检测和响应等功能,以多核多线程方式高性能地监测主干网上的万兆流量。MONSTER系统现有的系统结构如图1-3所示。图1-3现有的MONSTER系统结构图MONSTER系统主要包括元数据采集与检测和威胁源追踪取证两个功能模块。元数据采集与检测模块主要包含元数据采集、报文解析、报文摘要处理、DGA检测和Fast-Flux检测子模块。元数据采集子模块用于在被保护网络与CERNET主干网边界采集应用层(DNS、HTTP、IRC)元数据,应用层元数据经过报文解析子模块解析产生报文摘要信息,接着报文摘要处理子模块处理报文摘要信息得到域名及解析IP,最后DGA检测子模块和Fast-Flux子模块对域名及解析IP进行检测,并将检测结果返回给CHAIRS系统。
本文编号:3468436
本文链接:https://www.wllwen.com/kejilunwen/ruanjiangongchenglunwen/3468436.html
