论文部分内容阅读
随着国际互联网络的发展,越来越多的公司企业或者政府部门开始利用网络完成更多的事情。但随之而来,网络安全问题也日益突出,从而他们对网络安全设备提出了更多的要求。因此,防火墙、入侵检测系统、内网监控系统等众多异构的安全设备被部署到公司内部网络中。这些安全设备互补的完成各种安全防护任务。
但是,众多的安全设备都需要复杂的管理和配置,并且会产生海量的事件和日志信息,这就需要安全管理员具有丰富的经验和足够的耐心,才能从中发现真正有意义的事件,用来作为安全配置或解决方案的决策支持信息。然后从现在的使用情况来看,大多日志出现后就被永远的存储起来,只有当发生重大安全事故后,才可能根据它来跟踪事件发生的原因。这无疑并不是我们需要的结果。
因此,本文从这一问题入手,希望借助关联分析等手段,能够先行的通过各种安全设备的海量日志信息来发现潜在的威胁,并通过这些威胁来实时的进行响应,从而避免更大安全事故的发生。当前对安全事件的关联分析也是研究的热点,已经有多种方法用来进行此工作,本文的主要内容则是以基于规则的安全事件关联技术为基础,提出一种新的模型来进行规则的描述、存储和匹配,从而能使得规则的表现能力得意增强,海量规则匹配的效率得以提高;同时,还提出了一种根据已有规则生成新规则的方法,解决了常见基于规则的关联技术的无法针对未知攻击的弱点。
在进行基于规则的安全事件关联时,本文提出了基于状态转换图的方法,利用有向图的特点,能够将多个规则合并为一个更大的有向图,进行全局匹配。对应于树状结果描述的规则,这不仅提高了规则的表现能力,而且提高了匹配的效率。
在进行规则的生成时,本文以现有规则(原生规则)为基础,从规则的因果关联中来发掘新的事件模式联系,并利用相似度匹配的算法,来发现新的安全事件特征序列,这些新的安全事件特征序列被作为新的规则(推导规则)。随后,通过推导规则的筛选和优化,来得到更精确的规则信息,无效的信息将被剔除,而有价值的信息被转换为原生规则,作为下一次规则生成的来源。从而实现了规则的自动生成,在一定程度上解决了传统基于知识的入侵检测难以发现未知攻击的缺点。