網(wǎng)絡安全攻擊模型與事件關聯(lián)技術的研究與實現(xiàn).pdf

1、隨著網(wǎng)絡的飛速發(fā)展以及社會信息化程度的逐步提高，網(wǎng)絡安全問題呈現(xiàn)出多元化、復雜化的趨勢，攻擊活動向大規(guī)模、協(xié)同化和多層次方向發(fā)展。人們不斷地采用防火墻、入侵檢測系統(tǒng)、漏洞掃描工具等各種安全設備來監(jiān)控網(wǎng)絡以抵御入侵。當然，這些產品分別在不同的側面保護著網(wǎng)絡系統(tǒng)。然而，各種安全設備相對獨立的部署方式，產生了海量的事件報警，其中充斥著大量重復且不可靠的信息，甚至因此形成“報警洪泛”；同時，這些事件往往反映的是低級別的攻擊行為，缺乏有效地融合與

2、關聯(lián)，使得管理員難以識別潛在的威脅，把握全局的安全狀況。針對網(wǎng)絡中多源異構安全設備的廣泛應用及其產生的安全事件難以有效管理的現(xiàn)狀，統(tǒng)一網(wǎng)絡安全管理被提出并成為網(wǎng)絡安全管理領域備受關注的研究熱點。 統(tǒng)一網(wǎng)絡安全管理平臺是集多源數(shù)據(jù)采集、統(tǒng)一報警評估和事件相關性分析為一體的安全信息及事件管理平臺。作為事件相關性分析的核心，一個包括攻擊描述、攻擊驗證、攻擊檢測、攻擊關聯(lián)、攻擊反應等的攻擊知識庫必不可少。它為各數(shù)據(jù)源的信息共享和安全事件

3、的關聯(lián)分析提供知識保障，并直接影響著事件相關性分析的最終效果。然而，目前關于網(wǎng)絡安全攻擊模型仍然缺乏有效的解決方案。 本文使用安全事件來抽象和描述攻擊行為，消除低級別粗粒度報警信息產生的弊端，實現(xiàn)對復雜攻擊更加精準、全面的描述；設計了基于XML的層次化關聯(lián)規(guī)則，并保證其實用性、可復用性和可擴展性；采用基于驗證的入侵檢測，有效地從大量安全事件中準確識別出真實的入侵行為；針對多步驟攻擊具有階段性特點，使用面向場景的攻擊推理，構造攻擊