一個(gè)網(wǎng)絡(luò)安全信息分析原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)的普及，企業(yè)、政府等組織中基于網(wǎng)絡(luò)的業(yè)務(wù)越來越多，網(wǎng)絡(luò)安全問題的影響越來越大。為保證網(wǎng)絡(luò)的安全，很多單位投入大量資金用于購(gòu)買網(wǎng)絡(luò)安全產(chǎn)品。因此，對(duì)網(wǎng)絡(luò)安全領(lǐng)域的研究有重大意義。 當(dāng)前，網(wǎng)絡(luò)中雖然已部署有很多安全部件，但是安全狀況仍在不斷惡化。當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，雖然安全部件能夠產(chǎn)生告警但往往因不夠有效而無(wú)法為管理員提供足夠支持。因此，一種以安全部件的告警為分析對(duì)象旨在從中挖掘出有效信息的系統(tǒng)——網(wǎng)絡(luò)安全信息分析系統(tǒng)正受

2、到越來越多的關(guān)注。 經(jīng)過對(duì)安全部件告警的深入研究，發(fā)現(xiàn)存在如下問題：數(shù)量巨大、重復(fù)、誤告警率高、語(yǔ)義級(jí)別低、信息隱含在告警中等。綜合考慮這些問題并對(duì)網(wǎng)絡(luò)安全信息分析領(lǐng)域的已有成果進(jìn)行了深入研究之后，本文基于網(wǎng)絡(luò)安全信息群體行為分析模型設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)原型系統(tǒng)，該系統(tǒng)具有如下特點(diǎn)：從攻擊者行為的角度分析各種告警；引入了群體識(shí)別；能夠復(fù)用多種技術(shù)；綜合考慮各個(gè)問題的解決；具體實(shí)現(xiàn)了告警收集、告警聚集、告警校驗(yàn)、群體識(shí)別、因果關(guān)聯(lián)等功