網(wǎng)絡(luò)安全管理系統(tǒng)中告警融合技術(shù)的研究設(shè)計(jì).pdf

1、隨著近年來網(wǎng)絡(luò)的普及，網(wǎng)絡(luò)攻擊和非法訪問飛速增長，網(wǎng)絡(luò)安全的形勢(shì)日益嚴(yán)峻。為了保證內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)和網(wǎng)絡(luò)系統(tǒng)的安全，網(wǎng)絡(luò)管理人員在其內(nèi)部網(wǎng)絡(luò)中構(gòu)建起由防火墻、防病毒服務(wù)器、入侵檢測(cè)系統(tǒng)等眾多安全設(shè)備組成的防御體系，各類安全設(shè)備產(chǎn)生大量各類告警。告警特點(diǎn)有：告警量過大，誤警率高；告警信息非?，嵥?，于告警的分析和理解比較困難。這樣的告警信息直接影響著對(duì)攻擊的分析和及時(shí)響應(yīng)，也將占用安全管理員的大量的處理時(shí)間。大量的重復(fù)告警，虛假告警，無意

2、義告警，給網(wǎng)絡(luò)安全管理帶來了極大困難，幾乎超過了人力處理的能力極限。
　　 在這個(gè)背景下，為有效處理告警信息，告警融合技術(shù)開始得到人們的關(guān)注。告警融合包括合并重復(fù)告警，過濾無意義和錯(cuò)誤告警，組合瑣碎告警和對(duì)告警優(yōu)先級(jí)進(jìn)行判別等過程，以達(dá)到處理后提高告警的信息量和準(zhǔn)確率，減少告警量的目的。目前國內(nèi)外都在進(jìn)行廣泛的研究，并且已經(jīng)取得了一定的成果。采用概率的方法難以揭示告警之間的關(guān)系，并且難點(diǎn)在于需要找出先驗(yàn)概率。采用狀態(tài)轉(zhuǎn)移的方法需

3、要對(duì)每種攻擊進(jìn)行關(guān)聯(lián)，工作量大。采用歐氏距離的方法難于確定閾值。
　　 論文提出的先對(duì)告警進(jìn)行分類，通過分析歷史告警數(shù)據(jù)庫得到告警概率和相關(guān)數(shù)據(jù)，進(jìn)而基于有限狀態(tài)自動(dòng)機(jī)進(jìn)行告警融合，最后根據(jù)有限狀態(tài)自動(dòng)機(jī)歷經(jīng)的狀態(tài)和告警概率相關(guān)數(shù)據(jù)建立貝葉斯網(wǎng)絡(luò)，計(jì)算告警信度的方法，解決了告警融合體系中的一些難題，同時(shí)具備對(duì)新入侵行為的學(xué)習(xí)能力。
　　 論文第一章介紹了我國網(wǎng)絡(luò)發(fā)展現(xiàn)狀和網(wǎng)絡(luò)安全形勢(shì)現(xiàn)狀。第二章隨后介紹入侵檢測(cè)技術(shù)和告警