基于多源数据关联分析的攻击意图推断.pdfVIP

摘要 摘要 基于多源数据关联分析的攻击意图推断 研究生：郑飞飞，导师：龚俭，学校：东南大学 随着网络技术的发展，入侵规模越来越大，入侵的手段与技术也不断发展变化，入侵的 发起者和入侵的对象越来越趋于分布化。我们很难直接通过传统的网络安全解决方案获知入 侵者的攻击意图。就如何有效识别入侵者的攻击意图，本文将围绕CERNET （China Education and Research Network，中国教育科研网）的实际情况，针对该问题做深入分析，通过研究与 设计取证采集、通信活动识别、追踪结果融合等方案，为安全分析人员推断攻击意图提供强 有力的证据信息。 在取证采集方面，本文实现了面向多追踪任务的取证采集方案。该方案首先完成了追踪 任务的生命周期管理；然后，设计了基于生产者-消费者的报文采集分离方案，将报文采集 和报文分离解耦。报文采集模块使用PF_RING ZC 高速报文捕获工具捕获网卡上的报文，并 将流量周期性地采集并存储在本地磁盘文件中；报文分离模块根据追踪任务的采集规则对磁 盘中的周期报文文件进行离线分离。 在通信活动识别方面，本文设计并实现了基于应用层协议分析的通信活动识别方案。该 方案基于离线报文检测，首先使用入侵检测软件Suricata 和协议分析系统Bro 完成对通信报 文的检测，然后对分别对警报日志和协议活动日志进行处理，警报日志的处理内容包括警报 过滤、格式统一、警报信息入库等，协议活动日志的处理内容包括信息富化、协议活动信息 入库等。 在追踪结果融合方面，本文设计并实现了基于数据融合的追踪结果生成方案。该方案首 先通过设计应用程序调用接口获取位于不同节点上的相关数据；接着对这些数据进行预处理， 从中提取出对后续融合有价值的信息；然后从时间和空间两个维度、追踪IP 和对端IP 两个 视角分别对经过预处理后的多源异构数据进行融合，生成从多个角度描述入侵者攻击过程的 追踪结果；最后使用Echarts 工具和BootStrap 框架将融合结果展示在用户界面中。 在方案验证方面，本文对每个解决方案都分别进行了实验与分析，实验结果表明，本文 设计与实现的攻击意图推断功能有效地保证了安全事件响应的及时性和准确性。 关键词：网络攻击，安全事件，报文采集，意图推断 I Abstract Abstract Inferring Attack Intent Based on Multi-Source Data Association Analysis By Zheng Feifei, Supervised by Gong Jian, Southeast University With the development of network technology, the scale of intrusion is getting larger and larger, the means and technology of intrusion are constantly evolving, and the initiators of intrusion and the objects of intrusion are becoming more and more distributed. It is difficult for us to learn the intruders attack intention directly through traditional network security solutions. In terms of how to effectively identify the intruders attack intention, this thesis will focus on the actual situation of C