30000字硕士毕业论文互联网用户网络安全事件关联研究及系统设计
论文类型:硕士毕业论文
论文字数:30000字
论点:事件,网络安全,关联
论文概述:
近年来网络攻击事件的数量仍然在大幅度地逐年上升,从1998年到2007年,平均年增幅达50%左右。为了应对层出不穷的网络安全问题,各类网络安全设备和产品(如:防火墙、入侵检测系统、漏洞扫
论文正文:
第一章绪论 1.,研究背景进入21世纪,互联网正以惊人的速度在发展。据中国互联网发展情况报告显示【‘】,截至2007年12月,网民数达到2.1亿人,仅次于美国的2.15亿,年增长率达53.3在过去一年中平均每天增加网民20万人;其中全国域名数为1193万个,比去年同期增长了190.4%;网站数为150万个,比去年同期增长了78.4%。随着网络的快速发展,网络的应用已渗透到经济、政治、文化和国防等各个领域,并对人们的生产、生活、工作、学习等方面产生着深刻的影响,现实世界对于计算机网络的依赖程度达到了前所未有的地步。然而,事物的发展都有它的两面性,网络亦然。人们在享受着网络信息技术带来巨大进步的同时,又不得不面对着越来越严峻的信息安全挑战。由于网络系统中漏洞的存在和网络开放性的特点,致使别有用心的攻击者们对网络的入侵企图频频得逞。病毒入侵、网络欺诈、信息污染、黑客攻击等网络安全问题愈演愈烈,给国家经济建设、军事斗争准备、人们的社会生活等方面带来了负面的影响,甚至是重大的利益损失。例如,2000年2月的黑客事件中,世界著名的雅虎、亚马逊、微软等网站遭黑客攻击而几近全面瘫痪,直接经济损失高达数十亿美元。“爱虫”病毒的肆虐、“红色代码”的泛滥,也给人们正常的生活带来了干扰。 近年来网络攻击事件的数量仍然在大幅度地逐年上升,从1998年到2007年,平均年增幅达50%左右。为了应对层出不穷的网络安全问题,各类网络安全设备和产品(如:防火墙、入侵检测系统、漏洞扫描器、VPN、防病毒软件等)得到了广泛的应用。防火墙可以根据事先配置的规则,发现那些非法的连接和访问,及时阻断那些来自特定IP地址的连接,丢弃来自这些IP地址的数据包;入侵检测系统通过分析一些特征数据,能够检测出大部分攻击者的入侵行为,并及时产生告警;漏洞评估系统能够发现系统存在的各种安全漏洞。上述安全设备能够从不同角度保护网络信息系统。然而,随着黑客队伍的不断“壮大”及其攻击技术的不断发展,有防火墙“越砌越高”、漏洞库和病毒库越建越大、入侵检测系统越来越复杂的发展趋势。即使如此,网络安全问题依然突出,有防不胜防的倾向。解决安全问题的关键点之一在于,当有入侵事件发生时,能够迅速察觉、准确定位、及时响应。虽然,技术日益成熟的各类安全设备,能够及时检测到针对网络的各类入侵行为。然而,由于攻击事件日渐增多、攻击手段日趋复杂等因素,导致了各个安全设备所产生的安全事件越来越复杂,数量越来越庞大,可读性越来越差。问题的主要表现是:真正有威胁的安全事件信息经常被淹没在这些海量的、零散的事件当中,分析这些安全事件,从中识别攻击者的入侵行为,定位攻击者的来源变得越来越困难。 1.2问题陈述在分析这些由各类安全设备所产生的安全事件的过程中,主要问题是:1.网络安全事件洪流。每个安全设备在实际的运行环境中都会产生大量的安全日志或告警信息。仅一个企业级防火墙每天就能产生上亿字节的日志数据,处理这样数量级的信息,己经远远超出人工的处理能力。2.网络安全事件格式和语义不统一、可读性差。传统网络安全事件信息分析是分散进行的,不同安全设备产生的日志和告警没有统一的输出方式和信息格式。它们有的将告警输出到数据库,有的输出到文件:有的采用XML格式记录,有的采用字符串格式记录。无论从它们的记录内容还是形式上看,专业化程度比较高,对这些安全事件的分析必须具备一定的专业知识,这对于普通用户来说是不可行的。3.各类安全事件当中存在较高比例的虚假事件。以入侵检测系统的入侵告警为例,其误报率有时甚至高达90%上,真正有威胁的数据完全被淹没在那些错误的告警当中。4.缺少整体的安全视图。各个安全设备检测的对象只是每次通信中的数据包,或者是一段时间里的流量,没有站在全局的角度给出系统的安全视图。同时,没有结合实际环境的上下文信息,对告警的准确性和严重性给予综合的考虑和评价。这种情况下,管理员很难从整体上准确的掌握系统安全态势。5.传统的网络安全事件信息分析依赖手工操作,效率低、成本高、效果差。基于各类告警和日志信息数量极其庞大、格式不统一、质量不高(如IDS的高误报率和漏报率)等特点,使得管理员经常在安全设备之间疲于“忙碌”,往往不堪重负,也难以实现对这些安全事件的有效分析。 针对以上问题,近年来网络安全事件关联技术成了业界的研究热点。关联,是指用联系的观点来分析各个事务之间的相关性和依存性。网络安全事件关联,是通过对网络安全事件及其相关信息的关联,发掘隐藏在这些数据背后的真正联系,进而得到更真实、更具体、更完整的安全事件信息,以便全面的、准确的、及时的发现攻击者的恶意行为。分析目前的网络安全事件关联方法和关联系统,存在的问题主要有:1.大多数只对入侵告警进行关联,没有广泛收集其他类型的安全事件,不利于解决检测系统的漏报问题,不利于全面掌握攻击者的入侵行为。2.大多数只对安全事件之间进行关联分析,没有结合与网络安全事件相关的上下文环境信息,不利于准确的排除那些虚假事件,不利于对安全事件的高效分析。3.对多步攻击序列关联效果不好。不利于全面了解攻击者的入侵策略和逻辑步骤,更不利于提高网络安全防护工作中的针对性和预见性。4.缺少对安全事件严重度统一度量的方法和尺度,不便于对高严重度事件进行重点关注和及时响应。关于现有的一些安全事件关联方法和关联系统将在第二章具体介绍。 参考文献[1] CNNIc.中国互联网络信息中心,中国互联网络发展状况统计报告〔C]. 2008/1.卿斯汉.防火墙的现状与发展趋势[[J].计算机安全,2003年9月. D.Curry and H.Debar. Intrusion Detection Message Exchange Format Data Model and ExtensibleMarkup Language (XML) Document Type Definition[EB].ietf网站,2000.1.10. Martin Roesch. Snort: Lightweight Intrusion Detection for Networks. In: Proceedings of the 13thUSENIX conference[C] on System administration.Berkeley:USENIX Association, 1999:229-238.李鸿培.入侵检测中几个关键问题的研究[D].西安:西安电子科技大学,2001. Published by Microsoft, Windows 2000 Auditing and Intrusion Detection [EB]. microsoft网站,2003. 摘要 6-7 ABSTRACT 7 第一章 绪论 8-14 1.1 研究背景 8-9 1.2 问题陈述 9-10 1.3 研究目标及内容 10-11 1.4 主要创新点 11-12 1.5 论文架构 12-14 第二章 网络安全事件关联研究 14-26 2.1 网络安全事件 14-20 2.1.1 防火墙日志 14-15 2.1.2 入侵检测告警 15-17 2.1.3 主机操作系统日志 17-18 2.1.4 IIS日志 18-20 2.2 网络安全事件关联研究现状 20-25 2.2.1 现有网络安全事件关联模型 20-21 2.2.2 现有的网络安全事件关联方法 21-25 2.2.3 现有的网络安全事件关联系统 25 2.3 本章小结 25-26 第三章 SecModel网络安全事件关联模型及关联方法 26-54 3.1 SecModel网络安全事件关联模型 26-35 3.1.1 SecModel网络安全事件关联模型的建立 26-27 3.1.2 模型中的信息实体 27-32 3.1.3 模型中实体间的关系 32-35 3.2 针对网络安全事件过滤的关联方法 35-44 3.2.1 针对入侵检测告警过滤的关联方法 36-37 3.2.2 针对防火墙日志过滤的关联方法 37-40 3.2.3 针对IIS日志过滤的关联方法 40-41 3.2.4 针对主机日志过滤的关联方法 41-44 3.3 针对网络安全事件重构的关联方法 44-49 3.3.1 多步攻击的入侵过程分析 45 3.3.2 网络安全事件的重构 45-49 3.4 针对网络安全事件优先级确定的关联方法 49-53 3.4.1 网络安全事件优先级分析模型 49-50 3.4.2 网络安全事件优先级的确定 50-53 3.5 本章小节 53-54 第四章 网络安全事件关联系统设计 54-64 4.1 系统总体设计 54-56 4.1.1 系统概述 54-55 4.1.2 系统组成框架 55 4.1.3 系统层次结构 55-56 4.2 系统各个模块功能设计 56-63 4.2.1 事件采集层 56-58 4.2.2 事件关联层 58-62 4.2.3 管理层 62-63 4.3 系统开发平台 63 4.4 本章小结 63-64 第五章 网络安全事件关联系统测试 64-68 5.1 测试环境 64 5.2 测试过程 64-65 5.3 结果分析 65-67 5.4 本章小结 67-68 第六章 总结与展望 68-70 6.1 本文总结 68 6.2 下一步工作 68-70 参考文献 70-73