网络安全事件关联规则自动生成技术的研究与实现

国防科学技术大学硕士学位论文网络安全事件关联规则自动生成技术的研究与实现姓名：李阳申请学位级别：硕士专业：计算机科学与技术指导教师：徐锡山2010-11国防科学技术大学研究生院硕士学位论文第i页摘要网络安全事件关联规则(下文简称关联规则)是对网络安全事件之间关系的定义和描述，它反映了攻击成功执行时的场景。基于关联规则的关联分析技术易于实现且能有效的发现不同网络安全事件之间的关系，在当前主流的网络安全产品中得到了广泛的应用。然而在这些产品中，关联规则的数量远远少于典型网络攻击的数量，严重制约了关联分析系统的进一步应用。所以对关联规则的生成进行研究具有非常重要的应用价值，它关系到基于规则的关联分析技术的实用程度。本文重点研究关联规则的自动生成技术，主要工作有以下几个方面：1)对现有的关联规则增加方法和自动生成技术进行了深入研究和比较，指出现有技术的优缺点。2)提出了基于攻击流量的关联规则自动生成技术，集成开源的渗透测试工具，自动生成攻击流量，收集这些攻击流量所触发的安全事件，自动生成针对已知攻击的关联规则。3)在对网络攻击进行科学分类的基础上，分析总结典型的攻击模式，提出了基于攻击模式的关联规则自动生成技术，是对基于攻击流量的关联规则生成技术的补充，进一步降低针对已知攻击的关联规则的生成难度。4)针对大规模网络会产生海量安全事件，且新的攻击不断出现的特点，提出了基于序列模式挖掘的关联规则生成技术，无需任何攻击知识，发掘针对大规模网络攻击和未知攻击的关联规则。5)设计并实现了一个关联规则自动生成系统，将上述三种技术结合起来，优势互补，以便生成各种类别的关联规则。主题词：网络安全事件，关联规则，自动，生成国防科学技术大学研究生院硕士学位论文第ii页ABSTRACTNetworkSecurityEventsCorrelationRule(sayingCorrelationRuleforshortinthefollowing)definesanddescriptstherelationamongdifferentevents.Itimpliesasuccessfullylaunchedattack’sscenario.Correlationtechnologybasedoncorrelationruleiseasytoperformandiseffectivetodiscovertherelationamongdifferentnetworksecurityevents.Thistechnologyhasbeenwideusedinthecurrentpopularsecurityproducts.Theamountofcorrelationrulesintheseproductsissolessthanthatofthecurrentattacksthatcorrelationsubsystem’sfurtherapplicationisconstrainedseriously.Soitisvaluabletoresearchoncorrelationrule’sgeneration,whichcontributesmuchtocorrelationtechnology’sperformance.Thisthesismainlyresearchonthetechnologyofautomaticgenerationofcorrelationrules.Thecontributionofthisthesisincludes:1)Researchandcomparisonhavebeenperformedindepthonthecurrentmethodandtechnologyofcorrelationrule’sgeneration.2)Atechnologyofcorrelationrule’sautomaticgenerationbasedonattacktrafficisproposed.Withtheintegrationofsomeopen-sourcepenetrationtools,attacktrafficcanbeautomaticallygenerated.Itcangeneratecorrelationrulesagainstknownattacksautomaticallybygatheringthesecurityeventswhicharetriggeredbytheattacktraffic.3)Weanalyzeandsummarizethetypicalattackpatternsbasedonscientificclassificationofnetworkattacks,thenproposeanapproachonautomaticgenerationofcorrelationrulebasedonattackpattern.Thisapproachdecreasesthedifficultyofcorrelationrule’sgenerationagainstknownattacksandcomplementtheaboveapproach.4)Consideringthefeatureofmasssecurityeventsandappearanceofunknownattacksinlarge-scalenetwork,wedevelopatechnologybasedonsequentialpattern’smining.Thistechnologycandiscoverthecorrelationrulesrelatedtocomplexattackpatternandunknownattackswithoutanyknowledgeprovided.5)Aprototypesystemisdevelopedforautomaticgenerationofcorrelationrules.Bycombiningthetechnologiesabove,eachone’sdisadvantageiscomplementedbyothers.Correlationrulesofdifferentkindswillbegenerated.KeyWords:networksecurityevent,correlationrule,generation,automatic国防科学技术大学研究生院硕士学位论文第IV页表目录表2.1规则属性描述....................................................................................................6表2.2关联指令属性描述............................................................................................7表3.1实验节点信息..................................................................................................26表4.1攻击测试结果..................................................................................................39表5.1二元形式的购物篮数据..................................................................................41表5.2网络安全事件表..............................................................................................41表5.3序列数据表示例..............................................................................................43表5.4原始数据表......................................................................................................45表5.5排序后的表......................................................................................................46表5.6频繁1-序列编码表..........................................................................................46表5.7源目IP编码表.................................................................................................46表5.8最终序列数据表..............................................................................................47表5.9序列数据库......................................................................................................48表5.10序列模式挖掘结果..........................................................................................52国防科学技术大学研究生院硕士学位论文第V页图目录图1.1SAS系统体系结构示意图................................................................................1图1.2基于规则的关联分析过程................................................................................2图2.1规则关系............................................................................................................6图2.2关联指令结构示例............................................................................................7图2.3ftpuser缓冲溢出攻击的关联指令...................................................................8图2.4ftpuser缓冲区溢出攻击的关联规则树结构...................................................9图2.5网络安全事件关联规则和关联指令的dtd定义...........................................10图2.6DARPA攻击分类扩展示例.................................................................

网络安全事件关联规则自动生成技术的研究与实现

免费阅读已结束，点击付费阅读剩下 ... 页

阅读已结束，您可以下载文档离线阅读

金地·格林小镇：线性景观引发住宅景观设计革命

生物多样性国际保护中存在的权利冲突

老品牌“移魂大法”－－南京今世缘酒老品牌活化故事

化工厂岗位职责（DOC40页）

恒星科技X年半年度报告

如何编制事故应急救援预案方案

检验科工作手册

培养坦率沟通的重要窍门

第十二章薪酬分配

管理人员能力素质模型辞典大全（DOC78页）

相关文档

相关搜索