資源描述:
《探析事件告警分析引擎的設(shè)計(jì)與實(shí)現(xiàn)》由會員上傳分享���,免費(fèi)在線閱讀����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫���。
1����、中國科學(xué)院計(jì)算技術(shù)研究所碩士學(xué)位論文事件告警分析引擎的設(shè)計(jì)與實(shí)現(xiàn)姓名:高雷申請學(xué)位級別:碩士專業(yè):計(jì)算機(jī)應(yīng)用技術(shù)指導(dǎo)教師:孫育寧20050601摘要隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的豐富,網(wǎng)絡(luò)活動正呈級數(shù)增加�,為了應(yīng)對隨之而來的安全問題,出現(xiàn)了防火墻�����、IDS(入侵檢測系統(tǒng))�����、AV(防病毒系統(tǒng))等多種安全防護(hù)技術(shù)��。事實(shí)上��,在一個(gè)常見的網(wǎng)絡(luò)部署中����,除了路由器、Web及Ftp服務(wù)器�、主機(jī)等常規(guī)設(shè)備以外,往往也囊括了上述提及的所有安全設(shè)備。一方面�,具有不同技術(shù)側(cè)重的安全設(shè)備從不同的角度滿足了安全需求,而另一方面形式多樣的產(chǎn)品形態(tài)也給網(wǎng)
2�����、絡(luò)安全管理帶來了巨大障礙���。在傳統(tǒng)的安全分析方’法中���,總是以人工的方式通過分析相關(guān)安全設(shè)備的日志來獲取特定的安全相關(guān)信息���,這種方式在每天以GB為單位的日志量條件下已完全失去意義。因此�����,無論是局域網(wǎng)絡(luò)還是廣域網(wǎng)絡(luò)���,都迫切需要一個(gè)自動的����、綜合的安全分析解決方案來對網(wǎng)絡(luò)進(jìn)行集中管理���。然而����,在復(fù)雜的網(wǎng)絡(luò)環(huán)境下對缺乏集成�����、缺乏互操作性的不同軟硬件產(chǎn)品提供一個(gè)統(tǒng)一的安全管理平臺并非易事��。怎樣從形式不一的設(shè)備日志中摘取感興趣的信息��、怎樣將可能的事件關(guān)聯(lián)起來從而發(fā)現(xiàn)網(wǎng)絡(luò)正在發(fā)生的事情���、怎樣對檢測到的安全狀況做出處理�,這些都是一個(gè)集中安全分析
3����、方案所必須面對的問題����。本文從安全事件關(guān)聯(lián)分析的角度對上述問題進(jìn)行了研究��。文章以傳統(tǒng)的入侵檢測技術(shù)為起點(diǎn),對現(xiàn)有事件關(guān)聯(lián)分析技術(shù)中基于編碼的關(guān)聯(lián)技術(shù)�����、基于推理的關(guān)聯(lián)技術(shù)�、基于形式語言的關(guān)聯(lián)技術(shù)進(jìn)行了深入探討�����,對現(xiàn)有技術(shù)存在的缺陷與不足進(jìn)行了分析�。針對現(xiàn)有方案中理論探討過多�����,而缺少實(shí)質(zhì)性關(guān)聯(lián)實(shí)施技術(shù)的現(xiàn)狀����,本文設(shè)計(jì)了一套進(jìn)行安全事件關(guān)聯(lián)分析的具體實(shí)施方案;并將準(zhǔn)確性��、通用性�、實(shí)時(shí)性和安全性作為安全分析技術(shù)的首要考慮因素.整個(gè)方案涵蓋了事件采集與歸一化、重復(fù)事件匯總、異構(gòu)事件源關(guān)聯(lián)�、告警與漏洞信息關(guān)聯(lián)等.在此基礎(chǔ)上��,本文提出了一
4���、種基于語義嵌套規(guī)則的關(guān)聯(lián)分析技術(shù)��,給出了相應(yīng)的匹配算法及偽碼實(shí)現(xiàn)。由測試得到的實(shí)驗(yàn)數(shù)據(jù)可以看到����,該分析技術(shù)在性能及分析效果上都有較為滿意的表現(xiàn)。以上述理論探索及實(shí)踐為基礎(chǔ)����,依托國家863多數(shù)據(jù)源強(qiáng)審計(jì)項(xiàng)目的實(shí)際需求,設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于JMX框架的企業(yè)級事件分析引擎���,該引擎在安全上實(shí)現(xiàn)了權(quán)限認(rèn)證機(jī)制、日志審計(jì)機(jī)制����,在響應(yīng)策略上實(shí)現(xiàn)了控制臺實(shí)時(shí)告警���、郵件通知并能實(shí)施主動響應(yīng)����,在緊急情況下對下轄的防火墻設(shè)備進(jìn)行安全策略下發(fā)���,從而更改認(rèn)證方式或?qū)嵤┛谧杞亍jP(guān)鍵詞:事件安全分析��、關(guān)聯(lián)分析�����、語義嵌套規(guī)則�����、JMX框架����、事件分析引擎Ab
5�����、stractTherapidincreaseonthenetworkscaleandthenetwork-basedapplicationshascontributedtotheenhancementofnetworkactivities�����,tocompetethesecurityproblemaccompanyingwithit,peopleemployagoodmanytechnologies�����,suchasfirewall���,IDS(IntrusionDetectionSystem)andAV(AntV'mls).Infa
6、ct,inanormalimplementationofnetworkinfrastructure�,allsuchsecuritydevicesorproductsareincluded,besidesrouters�����,webserversftpservers�,PCs,ere.Ontheoneside�,thespecialaimedsecuritydevicesappeasesomespecialsecurityrequirements,ontheotherside�����,multiplestyledproductsbringbi
7�、gproblemforthesecuritymanagementofthenetwork.Intraditionalsecurityanalysis���,analystsreadthedevicelogs���,madecomparisonsandinvestigations,andthengavetheirsuggestions.But,inmodemnetworkenvironment,gigabytesofdataperdayproducedbythemultipledevicesmakesthisanalysisstyleo
8、bsolete�����,it’Sreallyanurgenttasktoprovideanautomated��,systematicsecuritysolutionnomatterfortheLocalAreaNetworkorfortheWorldWidenetwork.However,itisnotSOeas
