论文摘要
防火墙、入侵检测系统、漏洞扫描等网络安全设备的大量应用,虽然能够解决或者部分解决网络安全问题,但是这些安全设备也相应产生大量的“安全事件”,对这些安全事件的分析是一项繁重的任务。安全事件关联是一种行之有效的安全事件分析技术。研究安全事件关联模型、关联方法,设计开发有效的、先进的网络安全事件关联设备和关联系统,是本文的研究方向。本文在分析相关领域研究现状的基础上:提出了SecModel网络安全事件关联模型。利用该模型对相关信息的描述,便于对各类安全事件进行更深层次的、更有效的关联,包括对事件的过滤、聚合、重构、优先级的确定等。针对安全事件的过滤提出了相应的关联方法。利用该方法能够实现对各类安全事件的有效过滤,在一定程度上排除入侵告警中的误报,同时,有利于发现那些隐藏在日志事件中攻击者的入侵行为。针对安全事件的重构提出了基于Fp_Growth算法的关联方法,实现了对多步攻击序列的重现,能够发现攻击者的入侵策略和逻辑步骤。针对安全事件优先级的确定提出了相应的关联方法。以各个安全事件的优先级为尺度来衡量各个事件对系统造成的危害,能够方便管理员对高危害事件进行重点关注和及时响应。设计了网络安全事件关联系统,并完成了原型系统的开发。系统采用安全事件采集层、安全事件关联层、安全事件管理层三层结构,实现了对网络安全事件自动化的采集、范化、过滤、聚合、重构、优先级确定等。测试表明,系统具有很好的关联效果,达到了预期目的。