網絡安全事件關聯引擎的研究與設計.pdf

1、在信息化程度逐步提高的現代社會，信息安全越來越得到關注。常用的IDS，防火墻，各種異常檢測等安全工具由于自身的局限，因為不能識別正常行為而引發(fā)誤報；單個攻擊行為引發(fā)多個重復告警，也給管理員做出正確判斷帶來困難；更重要的是，網絡攻擊行為日趨復雜化、分布化，一個攻擊過程由多個攻擊步驟構成，多個步驟又完全可能在不同的地方實施，依靠單個的事件日志無法反映整個攻擊行為的全貌，因而也就無法捕捉到那些有計劃、有步驟的復雜攻擊行為。集中采集各種網絡安全

2、設備的告警信息，對重復告警做以合并，然后對整合過的告警做以關聯分析，將各個設備和安全組件的告警信息關聯在一起，挖掘出復雜的多步攻擊，全面把握網絡安全狀態(tài)，做出正確的全面的綜合的安全決策，以保網絡能夠正常、健康的運行，就是網絡安全事件關聯研究的問題。
　　 本文主要總結了安全事件關聯在安全事件管理平臺中的地位，以及安全事件關聯的國內外研究現狀和現有技術方案，包括基于漏洞的關聯、基于先決條件的關聯、基于概率相似度的關聯和基于統(tǒng)計的關

3、聯；接著提出了利用數據挖掘中的關聯規(guī)則方法對告警做以分析，通過頻繁項集來挖掘告警間的關聯關系，進而建立基于攻擊序列模版的安全事件關聯所需的安全事件先驗知識規(guī)則庫；繼而以基于攻擊序列模版的安全事件關聯為基礎，設計了基于多線程的主從匹配器協作的安全事件關聯并行計算方案，詳細介紹了基于多線程的主從匹配器協作的安全事件關聯并行計算方案的架構、模塊劃分、模塊功能以及內部協作機制，并提出利用反相匹配的策略減少安全事件關聯匹配中存在的冗余問題。最后通