论文部分内容阅读
随着现代计算机网络的开放性、共享性和互连程度不断扩大,应用系统面临着更为复杂的安全威胁,病毒的泛滥,攻击活动的多样性和随机性,其手段越来越复杂和隐蔽,安全性问题越来越突出。实践表明,仅仅通过单一安全防护组件如防火墙、漏洞扫描以及入侵检测等进行性能提升或者多种组件堆叠的方法并不能有效地控制和管理风险,系统安全性能依然薄弱。
一种更加有效的方式是建立一个集中的安全风险管理平台,作为整体性的防御措施来加固应用系统的安全性能,而事件关联则是其具体技术实现的核心。事件关联对来自各个不同安全组件所记录和存储的数据进行综合关联分析,提高对风险的敏感度和识别的准确度,从而指导正确而有效的安全防范措施。
目前事件关联方面的研究大多数比较抽象且方法各异,基于关联原型的研究基本处于理论模型的探讨阶段,相应开发的一些关联工具以及应用系统往往比较冗重、设计复杂从而难以进行灵活的配置以适应不同的网络系统。而且,大都依赖于特定的安全应用环境而难以适应其动态的变化。
本文提出了事件关联的改进方案,设计和实现了两项主要技术,即复合事件识别的判断机制和关联的动态扩展机制。与传统的事件关联方案相比,该方案针对复合事件识别的判断机制,引入了全局时间域的概念和信息含义表达的分层结构,用于重新对事件进行定义和划分。在此基础上,提出了语义操作符来初步表达事件间普遍存在的逻辑关系以及语境的设计实现,以进一步抽象表达事件发生所具有的显著特征。由此,我们较为全面地刻画了实际应用系统内事件之间的复杂联系,也综合考虑了这种联系在逻辑关系上的一致性以及时间、空间分布关系上的差异性。
为了使事件关联的分析过程能够进一步适应系统内安全状况的动态变化,本文进一步提出了基于规则的动况驱动模型,用以设计事件关联的动态扩展机制,以实现分析推理过程的多步骤、多路经以及临时性的动态判断。此外,规则的设计实现使得关联过程能够主动地跟踪安全环境条件的变化并做出一系列的反应,以支持信息收集、反馈以及自我验证判断结果等功能。
本项研究为提高安全事件关联综合分析能力及智能化处理能力提供了更为有效而切实可行的解决方法。