基于一种基于规则的网络安全事件关联分析方法研究

基于一种基于规则的网络安全事件关联分析方法研究

ID:34776068

大小:1.89 MB

页数:68页

时间:2019-03-10

基于一种基于规则的网络安全事件关联分析方法研究_第1页
基于一种基于规则的网络安全事件关联分析方法研究_第2页
基于一种基于规则的网络安全事件关联分析方法研究_第3页
基于一种基于规则的网络安全事件关联分析方法研究_第4页
基于一种基于规则的网络安全事件关联分析方法研究_第5页
资源描述:

《基于一种基于规则的网络安全事件关联分析方法研究》由会员上传分享,免费在线阅读,更多相关内容在学术论文-天天文库

1、分类号学号2004612100071学校代码10487密级硕士学位论文一种基于规则的网络安全事件关联分析方法研究学位申请人:潘安群学科专业:计算机系统结构指导教师:李之棠教授答辩日期:2007年1月27日AThesisSubmittedinPartialFulfillmentoftheRequirementsfortheDegreeofMasterofEngineeringResearchonARule-BasedApproachtoNetworkSecurityEventCorrelationCandidate:PanAnqunM

2、ajor:ComputerArchitectureSupervisor:Prof.LiZhitangHuazhongUniversityofScienceandTechnologyWuhan,Hubei430074,P.R.ChinaJanuary,2007独创性声明本人声明所呈交的学位论文是我个人在导师指导下进行的研究工作及取得的研究成果。尽我所知,除文中已经标明引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体,均已在文中以明确方式标明。本人完全意识到,本声明的法律结果由本人

3、承担。学位论文作者签名:日期:年月日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定,即:学校有权保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。本人授权华中科技大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。保密□,在_____年解密后适用本授权书。本论文属于不保密□。(请在以上方框内打“√”)学位论文作者签名:指导教师签名:日期:年月日日期:年月日摘要当前攻击技术的复杂化、隐蔽化及分布化,使得网络安全管理面临

4、着安全报警数据量巨大,零散冗余,及误报严重三大问题。人工分析这些海量报警极为困难。一个有效的解决办法就是通过一套网络安全事件的关联分析方法,对数据进行关联分析,挖掘报警之间的本质联系,从而及时有效地从海量零乱的告警数据中发现潜在的安全事件及其攻击意图,继而采取防御措施确保网络安全。提出了一种基于树形规则的网络安全事件关联分析方法,该方法通过对告警相似度的计算来聚合同一类型网络安全事件,并利用树形规则中节点之间的关系来定义同一攻击场景的告警关系,从而将零散存在的告警组织成为一个完整的攻击场景。同时,该方法能通过对告警的可信度评估来识别

5、误报警。首先为已知的攻击场景勾勒因果关系,创建对应树形规则:根节点表示攻击的起点,叶子节点是一个攻击的终点;父节点是子节点的前提,而每个子节点就代表该攻击的一个发展方向。然后在线将报警与树形规则匹配,匹配深度越深,攻击成功的可能性就越大。告警相似性通过告警属性相似度确定,不同属性的相似度计算方法不同:IP地址之间的相似度由掩码位数确定,攻击类型的相似度通过维护一张表来确定,等。只有属性相似度均超过其门限值,才认为两个报警具有相似性。可信度表明了这个告警反映攻击的成功概率。可信度的评估主要有两个依据:一是相似度算法聚合报警的数量,聚合

6、的数量越多,越可信。二是树形规则的匹配深度,匹配每前进一步,表明攻击者已经达到前一步攻击的意图,可能正要采取进一步的攻击,该安全事件的可信度会相应增加。试验表明,该算法能有效地聚合相似报警,减少告警数量,识别高威胁度安全事件和去除无用告警,有很好的关联效果。关键字:网络安全,关联分析,树形规则,相似度,可信度IAbstractWithspeeddevelopmentofcomplicatedcovertdistributedattackmethodsandtechnologies,thenetworksecuritymanageme

7、ntfacesthreemajorissues:thehugeamountofsecurityalertdata,redundancyandfalsepositives.It’simpossibletoanalyseandmanagethesedatamanually.Onlythenetworksecurityeventcorrelationanalysiscancorrelatethesedata,andminetheessentialrelationshipsbetweenalerts,anddiscoverthelatent

8、attackintentionseffectivelyandtimely,thentakcpreventivemeasures,toensrenetorksecurity.Therule-basedapproachtonetworks

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。