网络安全管理系统研究与实现

网络安全管理系统研究与实现作者：王华亭学位授予单位：复旦大学参考文献(27条)1.CharlesPPfleeger.ShariLawrencePfleeger信息安全原理与应用20042.SaadatMali网络安全原理与实践20033.范红.冯登国安全协议理论与方法20034.鲁士文计算机网络协议和实现技术20005.冯登国计算机通信网络安全20016.楚狂网络安全与防火墙技术20007.Stephennorthcutt网络入侵监测分析员手册20008.kaustubhMphaltankar内联网域外联网安全指南20019.ThomasAWadlow网络安全实施方法200010.eTrustSecurityCommandCenter(Part1)11.CIW安全专家全息教程12.DataMining:ConceptsandTechniques13.数据库系统Oracle9iODM文档14.TCP/IP协议族15.用TCP/IP进行网际互联第一卷:原理、协议与结构16.TheJ2EETutorial17.CERTCoordinationCenterCERT/CCStatistics1988-200218.CELandwehr.ARBull.JPMcDermott.W.S.ChoiATaxonomyofComputerProgramSecurityFlaws1994(03)19.ULindqvist.EJonssonHowtosystematicallyclassifycomputersecurityintrusions199720.JDHoward.TALongstaAcommonlanguageforcomputersecurityincidents199821.EEugeneSchultz网络安全事件响应200222.胡华平.黄遵国.庞立会.张怡.陈海涛网络安全深度防御与保障体系研究[期刊论文]-计算机工程与科学2002(6)23.蒋苹.胡华平.王奕计算机信息系统安全体系设计[期刊论文]-计算机工程与科学2003(1)24.RebeccaBace.PeterMellIntrusionDetectionSystems,RG(2000)IntrusionDetection.TechnologySeries25.LangeDB.OshimaMProgrammingandDeployingJavaMobileAgentswithAglets199826.AgletsSpecification1.1Draft27.AgentTransferProtocol--ATP/O.1相似文献(10条)1.学位论文许宇华基于攻击症状关联分析的网络安全事件管理技术研究2008传统的信息安全技术在网络系统中的应用提高了系统的安全性，同时存在如安全信息过量、误报和漏报现象较为严重等不足之处。网络安全事件管理技术是近年兴起并迅速发展的一项新型网络安全技术，其主要优势是能通过综合分析来自多方面的安全信息来更加准确地获得网络系统的整体安全风险状况。本文介绍了网络安全事件管理技术的相关概念，分析总结现有网络安全事件关联分析方法及其优缺点。针对现有安全事件关联分析方法运算过程比较复杂、不利于实时关联分析的不足，设计了一种基于攻击症状的关联分析模型(ASCM模型)，模型以攻击行为和攻击症状间因果关系作为关联分析知识，把由攻击引发的完整攻击症状集视作标识攻击的特征代码，将复杂的事件关联分析过程转化为简单的编码、解码过程，有效地提高了事件关联分析速度。依据ASCM模型设计了一个网络安全事件管理原型系统，实现了原型系统中安全事件采集、攻击症状检测和分析关联等主要功能模块。构建了原型系统的实验环境，设计并完成了原型系统的相关功能实验，验证了ASCM模型的有效性。最后提出下一步的研究工作设想是提高模型的关联分析容错能力。2.会议论文刘雪娇.肖德宝.常亚楠.陈历淼网络安全事件管理的综合关联分析解决方案2007随着网络的飞速发展以及信息化程度的逐步提高,信息安全威胁呈现出多元化、复杂化的趋势,人们不断地采用防火墙、入侵检测、漏洞扫描等各种安全设备来监控网络以抵御入侵.然而,这些设备的广泛应用产生了海量的安全事件,其中充斥着大量不可靠的信息,甚至因此形成事件风暴.对此本文给出了网络安全事件管理的体系结构,将网络中事件源的安全事件集中采集、规整,利用基于规则和统计的综合事件关联方法对其进行分析处理,实现事件的规范、集中、关联和显示,从而能够发现网络中的潜在威胁和攻击以采取实时应对措施.3.学位论文王文来安全事件管理系统及其中的关联分析2005随着社会各界网络安全意识的日益增强，市场上出现了各种各样的安全设备，而一个公司或者单位的内部也往往采用了大量分散的单个安全解决方案：防火墙、入侵检测、认证、扫描器等，这些都大大增加了企业的运维成本，而这些设备之间由于缺乏信息沟通，错误和重复的数据成海量之势，无法反映企业整体安全状况，更无法解决企业整体安全问题。在这种复杂的局面下，安全事件管理系统应运而生。本文首先对网络安全进行了大致的阐述，分析了我国的网络安全现状和趋势，并对现下常用的集中网络安全技术：加密认证，数字签名，防火墙，访问控制，入侵检测，审计日志等等作了简要介绍。随后便是本文主要论述的一个概念──安全事件管理，从为什么需要安全事件管理入手引出了什么是安全事件管理的问题，并介绍了安全事件管理的主要目标和采用的技术手段，描述了安全事件管理系统的架构和采用这种架构的优点，然后对整个安全事件管理系统的发展历史做了回顾。接下来本文介绍了安全事件管理中的核心──关联分析，并针对目前较常见的两种关联分析方法：基于规则和基于统计的关联分析，阐述了两者各自的优缺点，作为补充，对于cisco公司提出的漏洞关联也做了简要介绍。接下来本文就作者自己在安氏公司实习期间参与的该公司SOC项目为基础介绍了安全事件管理的高层概念——安全控制中心，介绍了安全控制中心的功能模块，并就具体的安氏公司安全控制中心介绍了其特点和架构。然后本文针对安氏SOC中关联规则的实现做了阐述，该实现是基于规则的，本文对规则的制定提出了一套方法，并对系统中预设的规则进行了详细介绍，在接下来的实现一章中描述了其效果和具体实现。最后，对作者前期的工作作了总结，并对安全事件管理系统及其中关联分析的未来作了展望：由于现实的需要，安全事件管理系统还将受到越来越多的重视，会有更多的安全企业参与到该系统的开发中去，会有更多的公司采用该方案来改善其安全状况，关联分析的技术也将越来越多地从研究室转到企业应用中去。4.学位论文李亚琴网络安全事件关联分析方法的研究与实现2006随着Internet技术的高速发展，网络安全问题变得越来越敏感和重要，攻击者攻击手段和技术的日益复杂化、更具隐蔽性和分布性等特点，使得对入侵意图的识别变得困难。冗余的、无关紧要的告警数据的泛滥给系统管理员带来了巨大的压力和错觉，甚至是漠视告警。有效关联技术和预警技术的缺乏导致攻击的漏报或误报，最终难于准确定位攻击意图，从而不能及时给出相应的对策，给系统带来巨大的损失。SATA(SecurityAlerts&ThreatAnalysis)系统以网络安全事件集中管理、降低入侵误报率、准确识别攻击意图为目标，对多源安全工具产生的原始告警进行收集和格式化，并送到服务器进程进行关联分析。SATA系统是在对各种告警关联技术进行了深入研究的基础上设计并实现的。研究内容主要包括：关联分析系统层次结构的提出；系统各功能模块的实现；利用贝叶斯网络的概率关联算法事件严重度排序AlertRank的设计及其实验分析；基于规则库的攻击关联算法的研究及实现。系统的Agent功能模块主要是对原始告警进行采集和格式统一化。从不同的原始告警格式中抽取出我们需要的属性，并且对相同的属性使用相同的名字。告警格式的统一化为Server功能模块对告警进行存储和关联分析提供了保障。安全事件严重度分析算法AlertRank，是一种特殊的交叉关联方法，它把告警中包含的信息与真实网络环境下的漏洞信息、网络拓扑结构信息，以及系统的资产信息和安全策略进行关联，并运用贝叶斯网络的计算方法计算得到告警的威胁度值，从而得出告警的威胁度排序结果。实验表明，该算法能有效地识别高威胁度告警和无用告警。5.期刊论文马洋明.李之棠.雷杰.潘安群.MAYang-ming.LIZhi-tang.LEIJie.PANAn-qun一种拟人的网络安全智能集中管理机制-微处理机2006,27(6)提出了一种拟人的网络安全智能集中管理机制,给出了系统模型并对系统性能和实现进行了分析.该机制中,agent对各种安全产品所产生的安全事件进行分析、处理,同时各agent之间根据需要进行交互,对未授权或无法识别的安全事件向安全智能管理中心汇报.安全智能管理中心将各agent汇报的安全事件(结合记忆中的相关信息)进行集中关联分析,按警报的紧急程度建立网络安全全局视图,并触发相应的响应与报告机制.采用该机制能够很好地减少系统开销,剔除误报,发现真实威胁,有利于网络安全管理员轻松地对安全事件实施管理.6.学位论文沈亚敏IDS中告警关联分析引擎的研究2006互联网为信息共享和交互提供了极大的便利，但随之而来的网络安全问题也日益明显。作为一种主动的信息安全保障措施，入侵检测已经与诸如加密认证和访问控制等基于防御的安全机制一起成为保护网络免受恶意攻击的第二道防线。然而，传统的入侵检测系统存在的三大缺陷：误警率过高，告警量过大，告警所包含的信息过少，导致系统管理员不堪重负，并使他们不能充分的了解和掌握网络的安全状况以便及时做出恰当的反应。因此，如何对告警进行再分析和再组织，消除冗余告警、组合琐碎的告警，成为入侵检测领域急需解决的问题。为了解决上述问题，告警的关联分析逐渐成为该领域的研究重点。本文首先分析了入侵检测系统中告警的特点，在此基础上，将告警关联分析方法分为两类(针对冗余关系和针对时序关系的告警分析方法)，并给出了入侵检测系统下的告警关联分析引擎的设计方案。该方案共分为四步：消除冗余告警，将具有时序关系的告警合并为一个告警，对告警评定优先级，最后将告警按优先级顺序交给安全管理员。其次，本文对目前较为成熟的针对时序关系的告警关联分析算法(基于攻击序列模板和基于因果关系的告警关联分析算法)进行了分析与比较。由于它们在告警缺失时很难完整的分析出告警的关联关系，本文提出了一种基于规则的动态告警关联分析算法，并通过模拟实验验证了该算法的有效性和效率。最后，本文引入“代价敏感”的概念，提出了基于代价敏感的告警关联分析算法。通过建立代价模型，计算告警的危害代价和响应代价，并根据它们确定告警的优先级，提高安全管理员的工作效率。目前判断告警优先级的方法很多，但如何定量判断优先级，本文是第一次尝试。模拟实验表明，该方法可以通过对告警的危害代价和响应代价的定量分析，判断告警的优先级。7.学位论文吴正桢基于聚类和报警先决条件的网络入侵关联分析2007入侵检测系统（IDS）是近年来迅速发展的系统安全技术，已经成为继防火墙之后的第二道网络安全防线。然而，传统的入侵检测系统有着两大弱点：1）它通常关注于低级警报和异常，发出对应的孤立报警，而无法发现其中的逻辑联系和攻击策略。2）传统的入侵检测系统会产生大量的误报，混杂于真实的报警之中。针对这一问题，本文结合聚类算法和先决条件关联方法，提出一种新的网络入侵报警关联分析模型。该模型首先利用层次聚类算法，对原始报警数据进行预处理，进而利用报警的先决条件进行关联分析。同时使用DARPA2000数据进行测试，证实提出的模型可对报警信息进行有效预处理。与仅用报警先决条件关联方法相比，成功排除了3个错误报警关联，有效提高了关联效果。8.期刊论文韩正平.蔡凤娟.许榕生.HANZheng-ping.CAIFeng-juan.XURong-sheng网络安全信息关联分析技术研究与应用-计算机应用研究2006,23(10)针对当前网络安全信息分析过程中出现的安全描述片