论文部分内容阅读
部署大量的信息安全产品,如防火墙、入侵检测系统、认证与访问控制系统、反病毒系统等,通常可以深层次地保护主机系统和网络。但是,这些孤立的、分散的安全系统产生的海量报警事件会将真实的报警信息湮没,使得安全管理员无法对有效的了解系统和网络状态,无法对攻击做出及时的响应。但大部分的攻击事件都不是孤立产生的,相互之间存在着某种联系,典型的有因果关系、冗余关系。因此,开发可以减少报警冗余度、自动完成报警关联分析、发现攻击意图的安全事件融合系统是非常重要的。
基于对以上问题的认识,本文设计了一种多源安全事件融合系统,该系统是网络信息安全监测系统的一部分,主要解决不同类别安全设备记录的安全事件的融合处理问题。本文设计的系统使用基于统计频度和规则的方法对事件进行初步过滤;使用基于概率相似度算法完成相似事件聚类和归并分析,大大的减少了事件冗余度;基于服务和时序的因果关联分析算法进行事件关联分析,发掘事件间的内在联系;最后通过基于时间窗的动态风险评估算法实现了系统的风险评估,并以量化的系统风险值,提供安全预警功能。本系统支持数据源有:常见的各类安全部件(防火墙、入侵检测系统、认证系统、反病毒系统)、操作系统日志(windows、unix、类linux系统)、应用程序日志(数据库日志、ftp日志、http日志、mail日志)。文中将详细阐述多源安全事件融合系统各个功能模块的设计和实现,并对ossec系统进行了深入的研究分析。
文中最后通过完成实验验证了多源安全事件融合系统的有效性。实验结果表明,该系统可以有效地减少报警数量,降低误报、漏报率,从而提高了报警的准确度,可发掘事件间的特定关系,实现部分攻击场景的重构,方便管理员对安全态势的进行全局掌控,提供安全预警的功能。