面向大规模网络的集中安全审计系统关键技术研究-计算机软件与理论专业毕业论文.docxVIP

摘要在过去的几年中安全技术取得的了长足的发展，涌现出大量安全设备，但是由于缺乏统 摘要 在过去的几年中安全技术取得的了长足的发展，涌现出大量安全设备，但是由于缺乏统 一的业界标准，难于实现设备的统一管理，设备间的信息交互更是难于实现，导致了设备间 的信息鸿沟。 其中事件管理便是最大的难点，更是实现安全事件快速响应的关键。通常情况下一个企 业网络的事件产生峰值在每秒6000条以上．远超出人工实时审计的极限，IDS等网络设备 的误报率据高不下，管理员被海量数据淹没导致无法对重要安全事件做出及时响应。 集中审计系统的设计旨在解决以上难题，对各种网络事件进行集中管理。通过事件的关 联分析，追踪和还原攻击场景，提供事件的自动响应机制。集中安全审计系统对于安全事件 的处理是一个由原始数据收集到发现知识直至采取适当措施的过程。作者在论文中给出了各 阶段关键技术的研究与实现，所做工作、技术难点与创新处如下： 1．高可扩展性及可靠性的设计模式：系统采用了微内核(MicroKemel)模式，并且通过 Service Locator模式实现调用者与实现者的解偶，从而实现微内核容器和插件。系统中的微 内核形成了一条软总线，通过增加插件模式的安全中间件可以支持不断出现的各种安全设 备。 2．对象池技术：面对系统中的大量短任务及数据访问请求，系统通过建立对象及线程 缓冲池，来减少对象创建及销毁时的消耗，提高响应速度。 3．事件收集及归一化：审计系统通过Syslog、SNMP、文件或是API等收集不同设备 和系统的事件。为了灵活便捷的实现对不同Et志的解析，作者采用LEX辅助自动生成日志 解析程序。日志的归一化是集中保存和关联分析的前提，文中作者给出了兼顾效率及可扩展 性的归一化结构。 4．事件的关联分析：目前IDS的高误报率已成为安全管理面对难题。集中安全审计系 统作为比IDS、防病毒网关、防火墙等安全设备更高层次的安全系统，可以通过有效的关联 全网的安全事件从而给出更加精确的判断．同时有效的分析攻击的有效性，减少安全管理员 的分析工作。作者采用状态机技术与自行设计的基于XML的攻击场景描述语言，实现了不 同事件的实时关联及攻击场景的还原。在事后分析技术上，作者研究采用数据挖掘技术实现 了事件间相关性的挖掘。 5．系统的监控与恢复：通过模拟生物免疫系统丁作机理及其多层结构，集中审计系统 协调网络中的安全设备形成类似于皮肤的外层防御，同时通过安置在主机Agent实现监控与 恢复．形成类似丁-免疫细胞的深层防御。 作者参与研制开发的集中审计系统已应用于军队及重要的政府机关(获得了军用产品认 证及CCID的J二程师推荐奖)。 关键字：集中审计系统，统一安全管理，安全事件管理，安全事件关联分析 中图分类号：TP 3 9 3．08 AbstractSo Abstract So many security products have come out for the past years，but each of them can not exchange kfformation freely for no uniform standard．There is big gap between the different security products；to manage these products is a very hard task for administrators． Security events management is the hardest thing，but it is most important．Security events management is the key to secufity events quick response．Usually above 6000 security events happen per second in a enterprise’S network，the events Can not be analyzed just by human．The fault alarms are product by Ins always make the administrator puzzled，in result the administrator call not take the action iU time． The security events audit system is designed to solve the problems on security events management．The process of the security events audit system