基于告警置信度的入侵场景重构技术研究
发布时间:2020-12-30 06:29
随着计算机软硬件技术的高速发展,计算机信息技术已经渗透到了人们工作生活的方方面面。计算机技术给人们带来了高效和便捷,同时也给人类带来了很多的风险。近年来,各种各样的网络安全事件层出不穷。研究如何从日志数据中,重现攻击者的攻击过程对于网络安全事件分析有着重要的意义。当前阶段下的网络安全设备基于特征码匹配的形式来进行攻击检测。这种方式的优点是安全人员可以按照需求自行增加或者删除检测规则,使用起来较为灵活,但是也存在着误报率高的问题。通过调研发现,现有的入侵场景重构技术和方法基本都是直接对安全设备的告警进行处理。由于安全设备存在误告警,直接对安全设备的告警进行分析会需要处理更多的告警,并且误报警的存在也会影响重构出的攻击场景的准确性。针对上述问题,本文结合机器学习技术,研究了一种基于告警置信度的入侵场景重构技术。通过计算原始告警的置信度,来删除误告警,从而减少后续处理过程要处理的数据量。首先利用机器学习技术获取到原始告警的告警置信度,然后利用机器学习模型的准确度和获取到的告警的置信度对原始告警进行分级处理,将原始告警按照告警置信度分为确认攻击、高度疑似、可直接剔除三类。接下来利用告警相似度函...
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:82 页
【学位级别】:硕士
【部分图文】:
SVM示意图
第四章系统设计与实现39Tomcat服务器和Nginx服务器都提供了HTTP日志的功能,只要开启配置就能进行记录到用户发送的请求。下面分别介绍两种服务的日志格式和处理方法。安装Nginx服务器后,会默认开启日志功能。Nginx的日志格式可以在Nginx的配置文件nginx.conf文件中进行自定义的配置。默认的Nginx日志配置如图4-5的形式。图4-5Nginx日志配置图4-5中的日志配置被注释了,要开启日志,只需删除句首的注释符。配置文件中,日志配置部分具体的字段[43]解释如表4-1所示。表4-1Nginx日志字段表字段名对应内容remote_addr远程请求IP地址remote_use客户端用户的名称,没有时用-符合代替time_local请求收到时的本地时间戳request请求具体的url和参数statushttp响应状态码body_bytes_sent请求文件大小http_referurl跳转来源地址http_user_agent用户终端浏览器UserAgent的相关信息http_x_forwarded_for客户端真实的IP,只有在通过了HTTP代理或者负载均衡服务器时才会添加该项图4-6是一个Nignx日志示例。从图中可以看到,日志中记录了请求的原始IP、请求到达服务端的时间、HTTP请求方法、请求的路径、HTTP协议版本、HTTP返回包状态码、返回包内容长度、User-Agent等信息。图4-6Nginx日志示例
电子科技大学硕士学位论文40tomcat的日志配置是在“/tomcat/conf/server.xml”文件中进行配置的。如图4-7所示。图4-7tomcat日志配置开启tomcat的日志记录配置,将会在tomcat安装目录的logs文件夹下生成访问的日志文件。生成的日志文件名将会是这样的形式prefix+date+suffix。其中prefix和suffix都是从配置文件server.xml中获取到,如上图所示的配置,那么文件名就会是localhost_access_log.2019-02-04.txt。Tomcat默认情况下是一天产生一个日志文件。图4-8展示的是一个tomcat日志文件的内容。图4-8tomcat日志内容Tomcat具体产生的日志格式说明如表4-2。表4-2tomcat日志格式说明字段名含义%a客户端IP地址%A本地服务端IP地址%b发送的字节数,不包括HTTP头,如果为0,使用“-”%B发送的字节数,不包括HTTP头%h远端主机名(如果resolveHost=false,则为远端的IP地址)%HHTTP请求协议的版本号(1.1,1.0等)%l从identd返回的远端逻辑用户名%mHTTP请求的方法(GET、POST、PUT等)%p收到请求的本地端口号%q请求中的查询字符串(如果存在,以‘?’开始)%r请求的第一行,包含了请求的方法和URI%s服务端响应的HTTP状态码
【参考文献】:
期刊论文
[1]一种基于多因素的告警关联方法[J]. 吴东,郭春,申国伟. 计算机与现代化. 2019(06)
[2]入侵告警信息聚合与关联技术综述[J]. 李祉岐,黄金垒,王义功,胡浩,刘玉岭. 计算机应用与软件. 2019(04)
[3]基于梯度提升模型的行为式验证码人机识别[J]. 欧阳志友,孙孝魁. 信息网络安全. 2017(09)
[4]网络威胁情报活动模型建构与解析[J]. 陶昱玮. 保密科学技术. 2017(08)
[5]Wannacry给网络空间安全应急处理体系带来的启示[J]. 谭晓生. 保密科学技术. 2017(06)
[6]基于因果知识发现的攻击场景重构研究[J]. 樊迪,刘静,庄俊玺,赖英旭. 网络与信息安全学报. 2017(04)
[7]乌克兰电力系统BlackEnergy病毒分析与防御[J]. 王勇,王钰茗,张琳,张林鹏. 网络与信息安全学报. 2017(01)
[8]DLP概念、技术与产品发展[J]. 陈靓,冯永胜. 中国信息安全. 2012(02)
[9]震网病毒分析与防范[J]. 蒲石,陈周国,祝世雄. 信息网络安全. 2012(02)
[10]用于自动证据分析的层次化入侵场景重构方法[J]. 伏晓,石进,谢立. 软件学报. 2011(05)
博士论文
[1]大规模网络中误告警去除和告警聚类方法研究[D]. 李冬.华中科技大学 2008
[2]网络安全告警信息处理技术研究[D]. 马琳茹.国防科学技术大学 2007
硕士论文
[1]基于用户网络数据指纹的异常行为检测研究[D]. 吴楚婷.北京邮电大学 2019
[2]基于大数据分析的网络攻击场景重建系统[D]. 黄静耘.天津理工大学 2017
[3]网络安全设备日志融合技术研究[D]. 赖特.电子科技大学 2015
本文编号:2947173
【文章来源】:电子科技大学四川省 211工程院校 985工程院校 教育部直属院校
【文章页数】:82 页
【学位级别】:硕士
【部分图文】:
SVM示意图
第四章系统设计与实现39Tomcat服务器和Nginx服务器都提供了HTTP日志的功能,只要开启配置就能进行记录到用户发送的请求。下面分别介绍两种服务的日志格式和处理方法。安装Nginx服务器后,会默认开启日志功能。Nginx的日志格式可以在Nginx的配置文件nginx.conf文件中进行自定义的配置。默认的Nginx日志配置如图4-5的形式。图4-5Nginx日志配置图4-5中的日志配置被注释了,要开启日志,只需删除句首的注释符。配置文件中,日志配置部分具体的字段[43]解释如表4-1所示。表4-1Nginx日志字段表字段名对应内容remote_addr远程请求IP地址remote_use客户端用户的名称,没有时用-符合代替time_local请求收到时的本地时间戳request请求具体的url和参数statushttp响应状态码body_bytes_sent请求文件大小http_referurl跳转来源地址http_user_agent用户终端浏览器UserAgent的相关信息http_x_forwarded_for客户端真实的IP,只有在通过了HTTP代理或者负载均衡服务器时才会添加该项图4-6是一个Nignx日志示例。从图中可以看到,日志中记录了请求的原始IP、请求到达服务端的时间、HTTP请求方法、请求的路径、HTTP协议版本、HTTP返回包状态码、返回包内容长度、User-Agent等信息。图4-6Nginx日志示例
电子科技大学硕士学位论文40tomcat的日志配置是在“/tomcat/conf/server.xml”文件中进行配置的。如图4-7所示。图4-7tomcat日志配置开启tomcat的日志记录配置,将会在tomcat安装目录的logs文件夹下生成访问的日志文件。生成的日志文件名将会是这样的形式prefix+date+suffix。其中prefix和suffix都是从配置文件server.xml中获取到,如上图所示的配置,那么文件名就会是localhost_access_log.2019-02-04.txt。Tomcat默认情况下是一天产生一个日志文件。图4-8展示的是一个tomcat日志文件的内容。图4-8tomcat日志内容Tomcat具体产生的日志格式说明如表4-2。表4-2tomcat日志格式说明字段名含义%a客户端IP地址%A本地服务端IP地址%b发送的字节数,不包括HTTP头,如果为0,使用“-”%B发送的字节数,不包括HTTP头%h远端主机名(如果resolveHost=false,则为远端的IP地址)%HHTTP请求协议的版本号(1.1,1.0等)%l从identd返回的远端逻辑用户名%mHTTP请求的方法(GET、POST、PUT等)%p收到请求的本地端口号%q请求中的查询字符串(如果存在,以‘?’开始)%r请求的第一行,包含了请求的方法和URI%s服务端响应的HTTP状态码
【参考文献】:
期刊论文
[1]一种基于多因素的告警关联方法[J]. 吴东,郭春,申国伟. 计算机与现代化. 2019(06)
[2]入侵告警信息聚合与关联技术综述[J]. 李祉岐,黄金垒,王义功,胡浩,刘玉岭. 计算机应用与软件. 2019(04)
[3]基于梯度提升模型的行为式验证码人机识别[J]. 欧阳志友,孙孝魁. 信息网络安全. 2017(09)
[4]网络威胁情报活动模型建构与解析[J]. 陶昱玮. 保密科学技术. 2017(08)
[5]Wannacry给网络空间安全应急处理体系带来的启示[J]. 谭晓生. 保密科学技术. 2017(06)
[6]基于因果知识发现的攻击场景重构研究[J]. 樊迪,刘静,庄俊玺,赖英旭. 网络与信息安全学报. 2017(04)
[7]乌克兰电力系统BlackEnergy病毒分析与防御[J]. 王勇,王钰茗,张琳,张林鹏. 网络与信息安全学报. 2017(01)
[8]DLP概念、技术与产品发展[J]. 陈靓,冯永胜. 中国信息安全. 2012(02)
[9]震网病毒分析与防范[J]. 蒲石,陈周国,祝世雄. 信息网络安全. 2012(02)
[10]用于自动证据分析的层次化入侵场景重构方法[J]. 伏晓,石进,谢立. 软件学报. 2011(05)
博士论文
[1]大规模网络中误告警去除和告警聚类方法研究[D]. 李冬.华中科技大学 2008
[2]网络安全告警信息处理技术研究[D]. 马琳茹.国防科学技术大学 2007
硕士论文
[1]基于用户网络数据指纹的异常行为检测研究[D]. 吴楚婷.北京邮电大学 2019
[2]基于大数据分析的网络攻击场景重建系统[D]. 黄静耘.天津理工大学 2017
[3]网络安全设备日志融合技术研究[D]. 赖特.电子科技大学 2015
本文编号:2947173
本文链接:https://www.wllwen.com/shoufeilunwen/xixikjs/2947173.html
