基于安全管理中心的關(guān)聯(lián)引擎技術(shù)的研究.pdf

1、隨著人們安全意識(shí)的不斷增強(qiáng)，安全設(shè)備部署得越來(lái)越廣泛。安全管理員面臨應(yīng)對(duì)安全設(shè)備產(chǎn)生的海量數(shù)據(jù)和誤報(bào)的嚴(yán)峻挑戰(zhàn)。本文提出一種新的方法(關(guān)聯(lián)引擎技術(shù))有助于減輕這些根本問(wèn)題給網(wǎng)絡(luò)安全檢測(cè)帶來(lái)的沖擊。 本文首先對(duì)安全管理中心(SecurityOperationCenter，簡(jiǎn)稱SOC)概念進(jìn)行闡述，說(shuō)明安全管理中心的來(lái)源、意義、架構(gòu)及其工作原理。其次，通過(guò)關(guān)聯(lián)引擎(CorrelationEngine)依托的環(huán)境，主要從關(guān)聯(lián)和風(fēng)險(xiǎn)兩個(gè)

2、方面詳細(xì)闡述作為安全管理中心之核心的關(guān)聯(lián)引擎技術(shù)。進(jìn)而，以蠕蟲(chóng)攻擊(Worm)和拒絕服務(wù)攻擊(DenialofService，簡(jiǎn)稱DoS)為例，分析關(guān)聯(lián)引擎預(yù)警過(guò)程。最后，通過(guò)實(shí)驗(yàn)驗(yàn)證關(guān)聯(lián)引擎研究的理論意義和實(shí)用價(jià)值。 本文所做工作如下：(1)分析研究目前已投入商用的規(guī)則關(guān)聯(lián)、統(tǒng)計(jì)關(guān)聯(lián)和漏洞關(guān)聯(lián)，探討事件序列關(guān)聯(lián)算法和啟發(fā)式關(guān)聯(lián)算法。 (2)分析研究基于資產(chǎn)、威脅和漏洞的風(fēng)險(xiǎn)評(píng)估以及實(shí)時(shí)的風(fēng)險(xiǎn)可視，推演簡(jiǎn)潔有效的基于資產(chǎn)

3、價(jià)值、安全事件優(yōu)先級(jí)和可靠性的風(fēng)險(xiǎn)計(jì)算公式。 (3)提出基于行為的關(guān)聯(lián)和基于安全策略的優(yōu)先級(jí)修正方法。行為關(guān)聯(lián)以正常行為模式為基準(zhǔn)檢測(cè)異常行為。優(yōu)先級(jí)修正以系統(tǒng)安全策略為基準(zhǔn)，對(duì)于不符合系統(tǒng)安全策略的行為賦予其一個(gè)比較高的優(yōu)先級(jí)。 (4)提出基于基線安全理論的統(tǒng)計(jì)關(guān)聯(lián)模型。該模型將基線安全理論應(yīng)用于統(tǒng)計(jì)關(guān)聯(lián)，以設(shè)定的安全數(shù)據(jù)基線和閾值為基準(zhǔn)，監(jiān)測(cè)網(wǎng)絡(luò)異常行為。 (5)以深圳華為技術(shù)有限公司綜合產(chǎn)品研發(fā)部的科研項(xiàng)目