东南大学 计算机科学与工程学院.pptVIP

面向网络安全事件的入侵检测与取证分析 龚俭 王卓然 苏琪 杨望 （东南大学计算机科学与工程学院，南京，211189） * 提纲 研究概述 自动化响应模型介绍 自动化响应模型的设计与实现 总结 研究概述 研究背景 “十一五”211工程在CERNET网络和38个核心节点上建设有高性能网络管理与安全保障系统，CHAIRS系统是该项目的应急响应协同系统， 为各节点的安全管理人员提供应急响应管理功能，提高了CERNET安全事件响应的效率。 研究背景 随着大量安全事件的检出，在应急响应过程中原有的安全保障系统暴露出缺乏响应的入侵跟踪与取证分析的缺陷。 研究内容 在对原有的安全保障系统进行功能上的增强的基础上，设计并实现了入侵检测与取证分析自动化响应模型，以提高安全事件应急响应的效率。 自动化响应模型介绍 自动化响应流程 自动化响应模型的设计与实现 系统结构图 自动化响应模型设计重点在于MONSTER系统中入侵检测和取证分析功能的实现。 自动化响应模型的设计与实现 报文采集 当接收到HYDRA系统发送过来的采集任务配置任务(含有案件编号，采集时间范围信息)后，报文采集模块自动配置PF_RING ZC零拷贝工具，将HYDRA转发过来的特定对象报文收集并保存为pcap文件，文件保存在以案件编号，采集时间范围作为唯一标识的文件中。 自动化响应模型的设计与实现 入侵检测 报文检测模块 1. Suricata检测得到警报日志文件eve.json 2. 调用脚本对eve.json进行处理，提取其中的signature和四元组信息生成原始安全事件 事件后处理模块 利用多特征关联冗余消除算法进行冗余消除，生成简单攻击事件，最后发送给CHAIRS系统。 自动化响应模型的设计与实现 取证分析 1. 当接收到报文采集模块的通知信息后，Bro将自动进行离线检测产生日志文件。 2. 抽取日志文件中的数据(主要是bro报警内容字段信息)生成当前的网络行为特征，若发现异常的网络行为特征，则根据不同IP发生各种网络行为的频度进行统计，进而发现哪些机器正在发起攻击或者已经感染网络病毒。 自动化响应模型的设计与实现 实验结果 实验时间：2016.05.30-2016.06.20 实验途径：僵尸网络主机的自动化响应 自动化响应过程时间轴： 阶段说明 时间 案件调查 2016.05.30T10:00:00 报文采集 2016.05.30T10:00:00~2016.06.07T10:00:00 入侵检测 20.16.07T10:00:00 开始 2016.06.07T10:00:06 完成报文检测 2016.06.07T10:00:08完成冗余消除 取证分析 2016.06.07T10:00:00~2016.06.07T10:00:05 结论表示 2016.06.07T10:00:10完成 自动化响应模型的设计与实现 报文采集结果 入侵检测结果 取证分析结果 总结与展望 总结 本文在对原有的安全保障系统进行了功能上的增强的基础上，设计并实现了入侵检测与取证分析自动化响应模型，以提高安全事件应急响应的效率。在实验中，通过僵尸网络检测的实例对自动化应急响应模型中的报文采集和过滤，入侵检测和取证分析流程进行了详细分析和说明。实验结果验证了该响应模型对于提升安全事件应急响应效率的有效性。 改善目标 进一步的减少人工的干预。 综合多核处理器下并发程序设计的要点进行并发检测，进一步提升自动化响应的效率。 The End Thanks * * * *