隨著互聯(lián)網(wǎng)的快速發(fā)展,網(wǎng)絡規(guī)模的不斷擴大,網(wǎng)絡安全問題給日常生活和企業(yè)運營等帶來了嚴重挑戰(zhàn)。網(wǎng)絡安全事件關聯(lián)分析技術通過收集多源安全信息,經(jīng)過歸一化預處理、安全事件驗證及聚合和攻擊場景重構若干步驟約減冗余警報、剔除虛假警報,通過建立算法模型重現(xiàn)攻擊場景,是態(tài)勢感知研究領域的核心模塊,具有重要的研究價值。為此,本研究設計并實現(xiàn)了一個基于知識圖譜的分布式安全事件關聯(lián)分析系統(tǒng),構建了網(wǎng)絡安全知識圖譜,在圖譜的基礎上設計了關聯(lián)分析算法,并將算法并行化實現(xiàn)了分布式關聯(lián)分析系統(tǒng)。主要工作有以下幾個方面:1、設計了一個網(wǎng)絡安全知識圖譜模型,包括基礎資產(chǎn)維、漏洞維、威脅維、報警維四個維度。分別定義了每個維度的實體屬性構成,然后通過抽取多源開源安全知識,包括已經(jīng)披露的漏洞庫,系統(tǒng)軟件版本庫、公共攻擊模式分類庫,入侵檢測系統(tǒng)報警信息庫來填充每個維度實體模型。并且通過尋找各個維度之間的關聯(lián)關系融合所有維度構建一個完整的網(wǎng)絡安全知識圖譜,圖譜構建工具使用Neo4j圖數(shù)據(jù)庫。2、在已經(jīng)實現(xiàn)的網(wǎng)絡安全知識圖譜的基礎上設計實現(xiàn)了一種基于場景匹配的安全事件關聯(lián)分析方法。整個關聯(lián)過程包括安全事件預處理、安全事件驗證以及...

【文章頁數(shù)】：66 頁

【學位級別】：碩士

【部分圖文】：

圖2.2IDMEF數(shù)據(jù)模型

國防科技大學研究生院碩士學位論文用于收集來自多源IDS產(chǎn)生的報警日志信息。通常一個安需要部署大量的IDS，這些IDS通常會在各自指定的位置產(chǎn)知系統(tǒng)通過部署若干agent到每一臺主機用于實時收集報警日志采集系統(tǒng)，如Flume日志采集系統(tǒng)，通過在Flume中很容....

圖3.1知識圖譜構建流程

比較知識圖譜與傳統(tǒng)的知識庫，他們的共同點都有實體、關系及屬性幾個重要組成元素。類比于關系型數(shù)據(jù)庫，實體在知識圖譜中是以一個圖狀數(shù)據(jù)結構中的節(jié)點的形式存在，例如“iPhoneX”，而在關系型數(shù)據(jù)庫中一個實體則對應數(shù)據(jù)表中一行記錄。對于每一個實體知識圖譜與知識庫中都存在若干屬性，屬....

圖3.3NVD提供的漏洞庫描述NVD官方提供了XML、JSON等格式的漏洞數(shù)據(jù)集，這里使用XML的組織

病毒等手段跨過安全設備從而控制主機，并且非法獲取密碼等機要信息，甚至摧毀一個公司或組織的整個局域網(wǎng)服務器，使得無法正常對外提供服務。漏洞經(jīng)常作為攻擊者發(fā)動攻擊的重要依據(jù)，通過分析將安全事件與存在的漏洞進行關聯(lián)，是一條非常重要的感知網(wǎng)絡安全狀況的途徑。目前國內外都有組織機構維護一套....

圖3.4NVD提供的CPE描述信息NVD官方提供了XML壓縮包形式的平臺配置項數(shù)據(jù)集，在抽取漏洞實體之前

圖3.4NVD提供的CPE描述信息NVD官方提供了XML壓縮包形式的平臺配置項數(shù)據(jù)集，在抽取漏洞實體之前首先定義漏洞實體屬性。一個CPE實體包括提供商、產(chǎn)品、版本號、目標軟件、語言等屬性信息。表3.2是通過分析CPE字段信息選取出的作為CPE實體所....

本文編號：3906307