SIEM日志分析系统关键技术研究与应用

作     者：沈凡 

作者单位：北京邮电大学 

学位级别：硕士

导师姓名：何刚

授予年度：2021年

学科分类：0839[工学-网络空间安全] 08[工学] 

主      题：安全信息与事件管理 OSSIM 网络安全知识图谱 可视化 

摘      要：随着网络恶意攻击和网络入侵行为的不断发展,以及现代网络系统规模的不断扩大和复杂性的不断提高,各类安全设备为保护网络资产所产生的网络安全事件数量迅速增长。传统上依赖于人工分析的日志分析方法已经成为一项耗时长且极易出错的任务,也越来越不能被当前对网络资产进行管理和网络攻击实时监测的能力有迫切需求的企业所接受。另一方面,传统的安全控制技术,如防火墙、入侵检测系统、入侵防御系统、蜜罐系统等,随着相关研究的深入和新一代商用产品的推出,能够在各自所关注的领域内帮助保护敏感信息和设备,但安全分析人员却无法通过单一的设备在全局做到实时掌握系统中的网络安全态势。因此需要一种多合一的集成式解决方案,通过连接各个安全设备将它们产生的安全日志进行集中管理,统一利用不同设备的优势帮助安全分析师分析当前的网络状态和对网络中的恶意活动进行检测。本文重点研究了安全信息与事件管理系统(SIEM),对SIEM系统的组成和原理进行了深入研究和分析。具体的研究方向包括网络安全事件分析和安全数据可视化。在网络安全事件分析方向,本文研究了 SIEM系统的组成和事件处理流程,并对SIEM系统事件关联的核心—关联分析技术进行了重点研究。通过开源的SIEM软件OSSIM分析了SIEM系统软件的功能模块和设计原理,对关联引擎采用的关联分析算法进行了比较分析。在安全数据可视化方向,本文针对SIEM系统生成事件管理的不足之处、安全分析师无法通过SIEM告警事件了解触发告警规则的网络当前状态和网络实体的详细信息的问题,设计了一个基于OSSIM的网络安全知识图谱,在网络攻击发生时帮助网络管理者直观的实时掌握攻击行为发生的完整攻击链概述,探测事件发生的背后原因,从而显著增强SIEM系统实时有效的监控能力。