網(wǎng)絡(luò)安全風(fēng)險分析的事件關(guān)聯(lián)研究.pdf

1、隨著現(xiàn)代計算機(jī)網(wǎng)絡(luò)的開放性、共享性和互連程度不斷擴(kuò)大，應(yīng)用系統(tǒng)面臨著更為復(fù)雜的安全威脅，病毒的泛濫，攻擊活動的多樣性和隨機(jī)性，其手段越來越復(fù)雜和隱蔽，安全性問題越來越突出。實踐表明，僅僅通過單一安全防護(hù)組件如防火墻、漏洞掃描以及入侵檢測等進(jìn)行性能提升或者多種組件堆疊的方法并不能有效地控制和管理風(fēng)險，系統(tǒng)安全性能依然薄弱。 一種更加有效的方式是建立一個集中的安全風(fēng)險管理平臺，作為整體性的防御措施來加固應(yīng)用系統(tǒng)的安全性能，而事件關(guān)聯(lián)

2、則是其具體技術(shù)實現(xiàn)的核心。事件關(guān)聯(lián)對來自各個不同安全組件所記錄和存儲的數(shù)據(jù)進(jìn)行綜合關(guān)聯(lián)分析，提高對風(fēng)險的敏感度和識別的準(zhǔn)確度，從而指導(dǎo)正確而有效的安全防范措施。 目前事件關(guān)聯(lián)方面的研究大多數(shù)比較抽象且方法各異，基于關(guān)聯(lián)原型的研究基本處于理論模型的探討階段，相應(yīng)開發(fā)的一些關(guān)聯(lián)工具以及應(yīng)用系統(tǒng)往往比較冗重、設(shè)計復(fù)雜從而難以進(jìn)行靈活的配置以適應(yīng)不同的網(wǎng)絡(luò)系統(tǒng)。而且，大都依賴于特定的安全應(yīng)用環(huán)境而難以適應(yīng)其動態(tài)的變化。 本文提出

3、了事件關(guān)聯(lián)的改進(jìn)方案，設(shè)計和實現(xiàn)了兩項主要技術(shù)，即復(fù)合事件識別的判斷機(jī)制和關(guān)聯(lián)的動態(tài)擴(kuò)展機(jī)制。與傳統(tǒng)的事件關(guān)聯(lián)方案相比，該方案針對復(fù)合事件識別的判斷機(jī)制，引入了全局時間域的概念和信息含義表達(dá)的分層結(jié)構(gòu)，用于重新對事件進(jìn)行定義和劃分。在此基礎(chǔ)上，提出了語義操作符來初步表達(dá)事件間普遍存在的邏輯關(guān)系以及語境的設(shè)計實現(xiàn)，以進(jìn)一步抽象表達(dá)事件發(fā)生所具有的顯著特征。由此，我們較為全面地刻畫了實際應(yīng)用系統(tǒng)內(nèi)事件之間的復(fù)雜聯(lián)系，也綜合考慮了這種聯(lián)系在邏

4、輯關(guān)系上的一致性以及時間、空間分布關(guān)系上的差異性。 為了使事件關(guān)聯(lián)的分析過程能夠進(jìn)一步適應(yīng)系統(tǒng)內(nèi)安全狀況的動態(tài)變化，本文進(jìn)一步提出了基于規(guī)則的動況驅(qū)動模型，用以設(shè)計事件關(guān)聯(lián)的動態(tài)擴(kuò)展機(jī)制，以實現(xiàn)分析推理過程的多步驟、多路經(jīng)以及臨時性的動態(tài)判斷。此外，規(guī)則的設(shè)計實現(xiàn)使得關(guān)聯(lián)過程能夠主動地跟蹤安全環(huán)境條件的變化并做出一系列的反應(yīng)，以支持信息收集、反饋以及自我驗證判斷結(jié)果等功能。 本項研究為提高安全事件關(guān)聯(lián)綜合分析能力及智能化