網(wǎng)絡(luò)安全事件關(guān)聯(lián)引擎的研究與設(shè)計(jì).pdf

1、在信息化程度逐步提高的現(xiàn)代社會，信息安全越來越得到關(guān)注。常用的IDS，防火墻，各種異常檢測等安全工具由于自身的局限，因?yàn)椴荒茏R別正常行為而引發(fā)誤報(bào)；單個(gè)攻擊行為引發(fā)多個(gè)重復(fù)告警，也給管理員做出正確判斷帶來困難；更重要的是，網(wǎng)絡(luò)攻擊行為日趨復(fù)雜化、分布化，一個(gè)攻擊過程由多個(gè)攻擊步驟構(gòu)成，多個(gè)步驟又完全可能在不同的地方實(shí)施，依靠單個(gè)的事件日志無法反映整個(gè)攻擊行為的全貌，因而也就無法捕捉到那些有計(jì)劃、有步驟的復(fù)雜攻擊行為。集中采集各種網(wǎng)絡(luò)安全

2、設(shè)備的告警信息，對重復(fù)告警做以合并，然后對整合過的告警做以關(guān)聯(lián)分析，將各個(gè)設(shè)備和安全組件的告警信息關(guān)聯(lián)在一起，挖掘出復(fù)雜的多步攻擊，全面把握網(wǎng)絡(luò)安全狀態(tài)，做出正確的全面的綜合的安全決策，以保網(wǎng)絡(luò)能夠正常、健康的運(yùn)行，就是網(wǎng)絡(luò)安全事件關(guān)聯(lián)研究的問題。
　　 本文主要總結(jié)了安全事件關(guān)聯(lián)在安全事件管理平臺中的地位，以及安全事件關(guān)聯(lián)的國內(nèi)外研究現(xiàn)狀和現(xiàn)有技術(shù)方案，包括基于漏洞的關(guān)聯(lián)、基于先決條件的關(guān)聯(lián)、基于概率相似度的關(guān)聯(lián)和基于統(tǒng)計(jì)的關(guān)

3、聯(lián)；接著提出了利用數(shù)據(jù)挖掘中的關(guān)聯(lián)規(guī)則方法對告警做以分析，通過頻繁項(xiàng)集來挖掘告警間的關(guān)聯(lián)關(guān)系，進(jìn)而建立基于攻擊序列模版的安全事件關(guān)聯(lián)所需的安全事件先驗(yàn)知識規(guī)則庫；繼而以基于攻擊序列模版的安全事件關(guān)聯(lián)為基礎(chǔ)，設(shè)計(jì)了基于多線程的主從匹配器協(xié)作的安全事件關(guān)聯(lián)并行計(jì)算方案，詳細(xì)介紹了基于多線程的主從匹配器協(xié)作的安全事件關(guān)聯(lián)并行計(jì)算方案的架構(gòu)、模塊劃分、模塊功能以及內(nèi)部協(xié)作機(jī)制，并提出利用反相匹配的策略減少安全事件關(guān)聯(lián)匹配中存在的冗余問題。最后通