论文部分内容阅读
随着计算机网络的不断发展,网络已经成为人们日常生活不可缺少的部分,被广泛应用于教育、科研等领域,但是由于互联网的开放性其自身的弱点和缺陷也暴露出来,越来越多的问题成为制约互联网发展和应用的主要障碍,其中网络安全问题便是其中突出的一个。目前,应用于解决网络安全问题的手段主要包括:防火墙、入侵检测、入侵响应等。由于防火墙和入侵检测系统存在的问题例如:防御政策配置不灵活、检测精度太低、不能进行有效地响应和处理等等,因此,近年来针对入侵响应技术的研究成为了网络安全领域的热点。本论文在综合分析目前网络安全技术的发展的基础上,以CERNET华东(北)地区网络中心为依托环境,研究了入侵响应管理模型,并在此基础上设计、实现了一个入侵响应管理系统。
论文首先针对传统的入侵检测系统及其报警的特点进行了分析,总结了检测系统的不足和缺陷,并对目前已有的响应系统的不足进行了总结,其中包括报警数量问题、报警精读问题、响应管理问题等等。
第二章对入侵响应管理模型的研究进行了详细的阐述,并在当中提出了响应管理以及响应声明周期的概念,响应管理模型包括三个主要部分:安全事件管理、响应决策、响应过程管理,安全事件管理主要针对采集到的IDS报警进行预处理包括格式统一、过滤、危害度评估等步骤。响应决策的目标是针对待响应的安全事件生成当前环境下最优的响应方案。响应过程管理的目的是针对多步骤的响应执行过程进行管理,包括响应记录的生成、查询等等。
第三章和第四章详细地介绍了安全事件管理模型和响应决策算法。在安全事件管理模型中,论文采用了IETF等组织制定的入侵检测数据的标准格式IDMEF为基础定义安全事件的描述,并作为事件格式统一的模板;安全事件的过滤采用了基于事件与目标系统的配置相关性的计算的方法;安全事件评估定义了事件危害度有关的评估因素集并采用了加权综合评估方法来进行。在响应决策算法的研究中,本论文对目前流行的静态决策模型以及成本评估模型进行了分析,以决策理论作为基础,并借鉴了自动控制理论中的反馈的思想设计一种基于反馈和效果评估的响应决策模型,该模型有效地将信息论中熵的概念应用到响应效果评估中,并将其作为到响应决策的反馈,有效地解决了以往的响应决策模型的经度以及参数设置不准确的问题,使得响应决策过程具有很好的准确性和动态性。
第五章阐述了IRIS系统的设计与实现。在本章中,论文首先描述了系统的整体结构设计,随后介绍了各个模块的设计和实现流程,同时对响应记录库、规则库的实现和组织方式也进行了详细的介绍。最后介绍了IRIS系统的主要接口设计和实现。
第六章描述了IRIS系统的测试和验证,主要包括测试环境、测试方案以及测试结果的分析,通过测试结果的分析有效地说明了IRIS系统在入侵响应和管理方面的有效性。
第七章对论文的主要工作进行了总结,并对入侵响应技术今后的发展趋势以及IRIS系统的可改进之处做了展望。