網(wǎng)絡(luò)安全攻擊模型與事件關(guān)聯(lián)技術(shù)的研究與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)的飛速發(fā)展以及社會(huì)信息化程度的逐步提高，網(wǎng)絡(luò)安全問題呈現(xiàn)出多元化、復(fù)雜化的趨勢(shì)，攻擊活動(dòng)向大規(guī)模、協(xié)同化和多層次方向發(fā)展。人們不斷地采用防火墻、入侵檢測(cè)系統(tǒng)、漏洞掃描工具等各種安全設(shè)備來監(jiān)控網(wǎng)絡(luò)以抵御入侵。當(dāng)然，這些產(chǎn)品分別在不同的側(cè)面保護(hù)著網(wǎng)絡(luò)系統(tǒng)。然而，各種安全設(shè)備相對(duì)獨(dú)立的部署方式，產(chǎn)生了海量的事件報(bào)警，其中充斥著大量重復(fù)且不可靠的信息，甚至因此形成“報(bào)警洪泛”；同時(shí)，這些事件往往反映的是低級(jí)別的攻擊行為，缺乏有效地融合與

2、關(guān)聯(lián)，使得管理員難以識(shí)別潛在的威脅，把握全局的安全狀況。針對(duì)網(wǎng)絡(luò)中多源異構(gòu)安全設(shè)備的廣泛應(yīng)用及其產(chǎn)生的安全事件難以有效管理的現(xiàn)狀，統(tǒng)一網(wǎng)絡(luò)安全管理被提出并成為網(wǎng)絡(luò)安全管理領(lǐng)域備受關(guān)注的研究熱點(diǎn)。 統(tǒng)一網(wǎng)絡(luò)安全管理平臺(tái)是集多源數(shù)據(jù)采集、統(tǒng)一報(bào)警評(píng)估和事件相關(guān)性分析為一體的安全信息及事件管理平臺(tái)。作為事件相關(guān)性分析的核心，一個(gè)包括攻擊描述、攻擊驗(yàn)證、攻擊檢測(cè)、攻擊關(guān)聯(lián)、攻擊反應(yīng)等的攻擊知識(shí)庫(kù)必不可少。它為各數(shù)據(jù)源的信息共享和安全事件

3、的關(guān)聯(lián)分析提供知識(shí)保障，并直接影響著事件相關(guān)性分析的最終效果。然而，目前關(guān)于網(wǎng)絡(luò)安全攻擊模型仍然缺乏有效的解決方案。 本文使用安全事件來抽象和描述攻擊行為，消除低級(jí)別粗粒度報(bào)警信息產(chǎn)生的弊端，實(shí)現(xiàn)對(duì)復(fù)雜攻擊更加精準(zhǔn)、全面的描述；設(shè)計(jì)了基于XML的層次化關(guān)聯(lián)規(guī)則，并保證其實(shí)用性、可復(fù)用性和可擴(kuò)展性；采用基于驗(yàn)證的入侵檢測(cè)，有效地從大量安全事件中準(zhǔn)確識(shí)別出真實(shí)的入侵行為；針對(duì)多步驟攻擊具有階段性特點(diǎn)，使用面向場(chǎng)景的攻擊推理，構(gòu)造攻擊