安全事件关联分析引擎的研究与设计

作     者：杜君 

作者单位：吉林大学 

学位级别：硕士

导师姓名：赵冬范

授予年度：2007年

学科分类：08[工学] 0835[工学-软件工程] 081202[工学-计算机软件与理论] 0812[工学-计算机科学与技术（可授工学、理学学位）] 

主      题：安全事件 关联分析 攻击序列 启发算法 

摘      要：安全事件管理是通过从多个厂商、多个类型的设备上采集信息并进行信息的挖掘、兼容、扩展和关联。而关联分析是安全事件管理的核心内容。 本文对安全事件关联分析技术进行研究,提出了两种关联分析方法,依据这两种方法,设计并实现了关联分析引擎。本文首先介绍了安全事件关联分析概述和本文研究的意义;其次深入分析了目前常用的五种安全事件关联分析技术,包括基于模式识别、基于概率相似度、基于有限状态机、基于事件因果关联和基于机器学习的分析技术。在分析网络攻击常用技术及一般过程的基础上,作者提出了基于攻击序列的关联分析方法,该方法是通过规则匹配来识别攻击行为,因此,本文对关联规则文档的定义给出了详细描述。另外,作者还提出了基于启发算法的关联分析方法。同时,本文还考虑了安全事件与主机的脆弱性关联。最后,设计并实现了关联分析引擎,实验结果证明了关联分析引擎的有效性。