事件告警分析引擎的设计与实现

被引量 : 3次 | 上传用户:as7770420
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
随着网络规模的扩大和网络应用的丰富,网络活动正呈级数增加,为了应对随之而来的安全问题,出现了防火墙、IDS(入侵检测系统)、AV(防病毒系统)等多种安全防护技术。事实上,在一个常见的网络部署中,除了路由器、Web及Ftp服务器、主机等常规设备以外,往往也囊括了上述提及的所有安全设备。一方面,具有不同技术侧重的安全设备从不同的角度满足了安全需求,而另一方面形式多样的产品形态也给网络安全管理带来了巨大障碍。在传统的安全分析方法中,总是以人工的方式通过分析相关安全设备的日志来获取特定的安全相关信息,这种方式在每天以GB为单位的日志量条件下已完全失去意义。因此,无论是局域网络还是广域网络,都迫切需要一个自动的、综合的安全分析解决方案来对网络进行集中管理。然而,在复杂的网络环境下对缺乏集成、缺乏互操作性的不同软硬件产品提供一个统一的安全管理平台并非易事。怎样从形式不一的设备日志中摘取感兴趣的信息、怎样将可能的事件关联起来从而发现网络正在发生的事情、怎样对检测到的安全状况做出处理,这些都是一个集中安全分析方案所必须面对的问题。本文从安全事件关联分析的角度对上述问题进行了研究。文章以传统的入侵检测技术为起点,对现有事件关联分析技术中基于编码的关联技术、基于推理的关联技术、基于形式语言的关联技术进行了深入探讨,对现有技术存在的缺陷与不足进行了分析。针对现有方案中理论探讨过多,而缺少实质性关联实施技术的现状,本文设计了一套进行安全事件关联分析的具体实施方案,并将准确性、通用性、实时性和安全性作为安全分析技术的首要考虑因素。整个方案涵盖了事件采集与归一化、重复事件汇总、异构事件源关联、告警与漏洞信息关联等。在此基础上,本文提出了一种基于语义嵌套规则的关联分析技术,给出了相应的匹配算法及伪码实现。由测试得到的实验数据可以看到,该分析技术在性能及分析效果上都有较为满意的表现。以上述理论探索及实践为基础,依托国家863多数据源强审计项目的实际需求,设计并实现了一个基于JMX框架的企业级事件分析引擎,该引擎在安全上实现了权限认证机制、日志审计机制,在响应策略上实现了控制台实时告警、邮
其他文献
<正> (四)从中国民族管弦乐队之结构体制,乐器形态及二者相互关系之总体上审视。甘涛、陈济略、黄锦培诸君,在创建乐队过程中之创作、设专职指挥、乐改等思路和实践,具有开创
<正>2008年度第一批绿色建筑设计评价标识项目证书于8月4日在京颁发,包括中国2010年上海世博会世博中心在内的6个项目获得绿色建筑设计评价标识。这标志着我国绿色建筑评价体
我国当代师德研究与国外教学道德维度研究,既具有颇为一致的理论关注与研究焦点,却又展现出不尽相同的理论旨趣与研究进路。两者皆强调通过教师个人内化的美德来实现社会赋予
为使轻度弱智或残疾的儿童受到与健全儿童相同的教育,使他们能够与社会融于一体,获得自食其力的机会和本领,国家教委制定了一系列相关政策,于是,“随班就读”在全国广泛开展。但长
在资源日益紧缺和城市化加速发展的双重压力下,“节地、节能、节水、节材”成为中国城市正在经历的重要变化。近年来,浙江省在资源利用上日益突出的“三荒现象”(地荒、水荒和
以内容标准的精细化、序列化与结构化为最终目标的垂直一致性研究正成为课程内容研究的新热点。美国各州教育部门、学区与学校以及教育研究机构为促进课程"垂直一致"已积极开
目的:探究斑蝥素(cantharidin,CTD)与培美曲塞(pemetrexed,MTA)联合用药对HCT116细胞产生的影响。方法:应用长时间细胞观察及功能分析系统(Incu CyteTMZOOM)及克隆形成实验,
<正>1984年,我省的青岛、烟台开发区成为国家在沿海开放城市首批设立的两个国家级经济技术开发区,到2014年,开发区已经走过了30年不平凡的发展历程。今天的开发区已经成为我
公民教育中心(Центргражданскогообразования,简称ЦГО)是俄罗斯公民教育实施机构的重要组成部分,具有政策制定、课程开发、教师培训、活动组
目的 研究脊柱核心稳定训练在胸腰椎骨折患者康复护理中的应用效果. 方法 选取我院2015年5月-2016年5月收治的34例胸腰椎骨折患者,实行回顾性分析,所有患者均接受脊柱核心