一、IDMEF数据模型的改进与实现(论文文献综述)
王昱人[1](2021)在《CPS环境下异类信息融合技术应用研究》文中进行了进一步梳理信息物理融合系统(Cyber-physical system,CPS)是计算单元和物理对象在网络环境中高度集成交互而成的智能系统。安全性与安全监控问题是它正常运行的关键。随着技术发展,以震网攻击为代表的长期潜伏、擅长伪装、多种攻击混合进行的攻击事件使得在单一维度下进行安全监控的难度越来越大。需要通过多源信息融合,从时间和空间的不同的维度来扩展素材,从而更好的识别攻击事件。物理信息融合系统的现场环境由现场人员、物理设备以及信息系统组成。CPS具有异构异质、时空约束、领域相关等独特的特点,使得利用信息融合方法进行安全监控变得困难。尚未存在一套模型可以融合分析现场人员、物理设备以及信息系统所关联的所有安全信息。因此本文希望能构建这样一套能充分利用CPS环境下的各类安全相关信息的模型,从而可以更全面有效的监控系统的安全风险。由于系统出现的异常或安全问题不能一概而论,需要分层次、分类别地进行分析。所以本文首先对CPS环境下的多源异类安全监控设备或软件进行了分类和建模。并且将入侵检测消息交换格式(IDMEF)的应用场景进行扩展,从而统一了异类告警信息的格式。再提出了异常事件多级抽象模型(Multi-level abstract model of abnormal events,MLAMOAE)。该模型对异常事件进行了多级抽象划分,用于指导异类告警信息的融合分析,用于将安全监控问题划分为两类问题:“是否存在异常”与“存在什么样的异常”,从而可以更加清晰的认识并解决问题。基于这套模型,设计了一套异常风险评估流程,用于将“是否存在异常”与“存在什么样的异常”问题映射到D-S理论的识别框架,形成两种不同的评估方法和输出格式。并且规定了这两种评估方法之间如何进行转换。为了在CPS环境下实现该异常风险评估流程,提出了异类信息多级融合模型(Multi-level fusion model of heterogeneous information,MLFM)并通过仿真实验对模型的效果进行了验证。该模型通过多源异类信息融合的方法,综合分析来自不同时间、空间维度的信息,实现对系统安全风险的多维度、多层次地评估与检测。采用决策级融合的D-S证据理论实现对异类信息的融合判决,保障了模型的泛用性与可扩展性,可以方便的将新的信息来源加入或剔除融合模型。
刘文祺[2](2020)在《基于机器学习的网络安全关键技术研究》文中研究说明近年来,受益于通信、大数据及云计算等技术的成熟应用,“互联网+”已在民生、经济、政务等方面被广泛普及;但随着信息技术不断发展,难以计数的网络设备、应用以及爆发膨胀的网络数据,使网络环境变得日益复杂,给网络安全带来巨大的隐患。面对互联网数据海量、业务多样、演变迅速的特点,传统网络安全技术效率低下且呆板固化,在性能、自适应性和泛化性方面已经不能有效应对当前网络安全的形势,因此研究新的网络安全技术具有非常重要的意义。目前,基于机器学习的网络安全研究已取得了很多成果,展现了能够处理海量数据、检测识别以及自动学习的强大能力,给网络安全领域拓宽了发展思路,成为了当下热门研究之一。但现有方法由于依赖于公开标记的安全数据集以及经验知识,在实际网络数据采集、安全特征提取以及检测模型构建的环节上存在局限,难以适应于真实网络环境的特点并对实际网络攻击进行检测,造成现有研究较难在实际网络中进行部署实施。基于此,本文首先对现有基于机器学习网络安全的研究现状进行梳理,包括研究范畴、研究方法和相关工作;然后集中对现有研究存在的主要问题及其原因进行分析,为后文的研究提供支撑;随后着重对实际安全信息采集、未知协议特征提取、自适应增量模型构建三个关键技术进行研究,通过从实际网络中收集真实的安全信息、从未知网络协议数据中提取特征、构造自适应及增量式的检测模型,提升基于机器学习的网络安全技术的检测性能、自适应和泛化能力,使其适应于实际网络数据海量、业务多样、演变迅速的特点,并能对其中已知和未知网络攻击进行检测,以实现在真实网络环境中的应用。本文研究的具体内容如下:1、为了收集实际的网络安全数据,提出统一安全信息采集模型;首先,对异构安全设备上产生的各种类型的安全信息进行收集,并以标准格式进行封装;然后,利用过滤和整合方法,根据信息过滤标准和事件相似度,对初始信息中存在的错误和冗余内容进行处理;随后,通过基于事件相异度的关联方法,利用Bayes算法将相似行为的混合型安全事件进行关联;最后,研究事件的管理方式,对安全信息进行有序存放;实验结果表明,该模型通过信息采集、处理和关联的操作,在整合压缩比、关联正确性、完备性和处理效率指标上取得了较好结果,能为后续研究提供有效的安全数据。2、为了在无先验知识条件下提取未知网络数据的特征,以未知协议报文作为研究实例,提出一种未知协议解析方法Rebuilder;首先,构建基于隐半马尔可夫的未知协议报文模型,对协议字段内的变化规律和字段间的状态转移关系进行描述;然后,研究未知报文的解析方法,利用Baum-Welch方法对报文模型进行训练,根据最大似然准则对协议关键词、字段长度进行估计;最后,研究基于未知报文分段的特征提取方法,将频繁出现的关键词或关键词序列作为报文特征;实验结果表明,Rebuilder在无先验知识条件下对文本、二进制协议报文格式进行解析,相较于对比方法提高了字段划分的准确度、覆盖度等指标,能为提取未知协议报文特征提供有用信息。3、为了克服内容2,需要依赖于通用报文结构来构建未知协议报文模型的问题,提出基于模式发现理论的未知协议解析方法ReSight,仅利用报文数据本身对未知协议格式进行解析;首先,根据信息论原理对协议解析过程进行分析,提出模式发现的衡量标准和重构规则;然后,提出报文格式ε状态机的模式重构算法,挖掘报文格式的隐含模式;最后,实验在无先验知识条件下,利用ReSight对二进制类型报文格式进行解析,为提取未知协议报文特征提供有用信息。4、为了构建自适应和增量式检测模型,提出基于混合高斯模型的入侵检测系统ENID;首先,采用基于粗糙集理论的特征选择方法,以特征的信息增益为度量标准,实现最优特征子集的选取;然后,根据相似相离原则提出自适应的高斯混合聚类算法,自动确定最优聚类簇数,对正常和异常的网络特征进行学习,通过特征匹配实现入侵识别;最后,提出增量更新方法,利用原有聚类结果和增量样本进行增量聚类,通过挖掘频繁特征对未知攻击模式进行即时更新;实验结果表明,ENID相较于对比方法提高了特征选取的有效性、针对已知和未知攻击检测的准确率、误报率及漏报率等指标,可以适应真实环境中网络数据维度高、成分复杂和动态变化的特点,能够应对已知和未知的实际网络攻击。最后将各部分研究内容进行融合,设计混合型的入侵检测系统MixID,并搭建仿真的网络拓扑对该系统进行测试,以验证各关键技术的效果;通过综合对比各项测试指标,MixID在已知、未知攻击检测的准确率、误报率及漏报率等结果上体现了一定优势,其性能、自适应性和泛化性都取得了较好的进步;同时也表明,通过利用关键技术间的互补特性,可以更好的将基于机器学习的网络安全研究应用于实际网络环境。但考虑到目前工作还有很多限制,在大规模网络流攻击、加密流量攻击等方面,依然存在问题值得后续研究。
叶青[3](2019)在《基于数据挖掘的网络安全态势感知研究》文中研究指明近些年来,互联网安全问题日益尖锐。随着网络规模的不断扩大及攻击手段的日益复杂,传统的网络安全防护设备已经无法应对大规模网络的安全检测和防护。因此本文提出了一种基于数据挖掘的网络安全态势感知方法,借助数据挖掘技术能迅速地从海量数据中发现有价值的信息的优势实现对网络态势的感知。本文综合运用多源报警融合、数据挖掘、态势感知技术,实现对大规模网络环境的威胁评估,以便及时地对网络威胁作出预警和防御。本文主要的研究工作包含三个部分,如下所述:(1)提出基于特征相似度的报警冗余消除方法。该方法首先使用了IDMEF模型实现对不同安全检测设备产生的报警格式的统一,解决了不同安全检测设备产生的信息无法共享和协同分析的问题。然后改进了特征相似度方法,并通过改进后的特征相似度方法实现对原始报警的融合,减少了冗余报警的数量。最后通过实验证明了本文提出的方法在报警冗余去除上有着不错的效果。(2)提出一种基于改进的Apriori算法的多步攻击序列挖掘方法。本文提出了对经典的频繁项挖掘算法Apriori的改进,并通过改进之后的算法对独立的报警数据之间的关系进行挖掘,挖掘出隐藏在网络中的多步攻击模式,获得更高层的攻击语义。最后通过实验证明改进之后的算法提高了多步攻击序列挖掘的效率。(3)提出一种基于DS证据理论的网络安全态势评估方法。首先以挖掘出的最大多步攻击序列为证据,然后通过DS合成公式融合多条证据,对主机的态势风险值进行准确的评估。再通过网络各主机的威胁态势值及重要程度实现对整个网络态势风险值的计算。最后通过实验证明本方法能够准确得对网络态势进行评估。
刘尚东[4](2019)在《被管网内基于入侵警报关联的僵尸网络监测研究》文中研究指明僵尸网络是攻击者感染大量主机形成的一对多分布式网络,由于具有超大规模及智能的特点,成为网络攻击者的首选攻击平台,发起分布式拒绝服务攻击、发送大量垃圾邮件等,具有较大的危害。目前,面向被保护网络,网络管理员虽然拥有防火墙、入侵检测系统、入侵防御系统等技术手段,实现部分的网络防护,但是僵尸网络作为一种威胁较大的攻击平台,其检测与防范仍然存在很大的挑战,这表现在三个方面:(1)从网络管理员的角度来看,每天面临海量的入侵检测警报,其中存在大量误报及冗余信息,虽然现有的警报冗余消除、超警报生成、多步攻击关联等方法解决了部分问题,但是目前,被管网内僵尸网络检测及其威胁推断并未完成,从原始警报到网络安全态势仍然存在不小的距离;(2)在被保护网络主干上,网络流量巨大,深度报文检测等方法成本较高,所以被管网内的安全监测需要高效的解决方案,在信息有限的情况下达成目标;(3)移动互联网、物联网技术的快速发展,导致网络快速变化,网络结点上的代码快速迭代,漏洞层出不穷,被管网内的安全监测需要快速反应,减小损失。针对以上问题,本论文在全面梳理僵尸网络检测、警报关联方法、态势感知的基础上,结合被保护网络的流量大、警报多、要求快速反应的特点,开展了被管网内僵尸网络监测研究。本文工作主要包括四个方面:(1)针对僵尸网络检测成本高的问题,提出一种基于流模式的僵尸网络活动检测方法,流模式分为两种,一种是具有流字节总数,流中各报文字节数的方差,流持续时间,流报文总数4个测度的流模式,另外一种是具有流字节总数,流报文总数,流持续时间3个测度的流模式。前者需要全报文数据来计算测度,而后者可以直接从路由器导出,所以相对来说后者的适用性更广。实验结果表明,基于流模式的僵尸网络活动检测方法检测准确率能够得到保证,同时具有较低的时间复杂度。具体来说,包括两点:首先,研究渗透行为流模式,渗透行为方式取决于漏洞的特点,特定漏洞具有特定的渗透过程,将这一过程转化为流模式,实现从网络流中检测攻击者的渗透行为。研究僵尸网络通信活动流模式,僵尸网络通信基于僵尸程序的设计与实现,特定僵尸网络具有特定的通信规律,将通信规律转化为流模式,实现从网络流中检测僵尸网络通信活动。(2)针对原始网络警报感知级别低,无法有效提取出僵尸网络线索信息的问题,提出一种基于警报、流记录关联的僵尸网络检测方法,通过DNS僵尸网络黑名单,该方法从网络流中提取出僵尸控制器与僵尸的命令与控制信道活动。具体来说,方法首先采用递归算法完成具有相同域名所有僵尸控制器的关联,再经过机器学习聚类方法进一步完成僵尸控制器的归属,从而最终确定被管网内的僵尸网络。实验表明,该方法可以高效地实现被管网内僵尸网络的检测与追踪。(3)掌握僵尸网络活动规律有助于僵尸网络威胁预测,针对僵尸网络检测无法提供僵尸网络活动规律的问题,提出一种基于大数据的被管网内僵尸网络行为规律研究方法,为僵尸网络威胁分析打下坚实的基础,实验表明该方法能够高效完成大规模僵尸网络的行为分析,具体包含3点:首先,时间方面,研究计算僵尸网络通信周期、通信时长等通信规律。空间方面,研究僵尸网络规模,这包括僵尸网络实时规模及脚印,根据僵尸网络规模变化情况推断僵尸网络规模变化规律。通信规律方面,研究僵尸网络通信效率以及通信隐秘性。(4)对于新型僵尸网络漏洞,被管网无法及时发现威胁的问题,提出一种基于证据链的僵尸网络威胁评估方法,现有的态势感知方法综合考虑了攻击者能力及被保护对象的弱点,这都是基于历史信息推断未来的威胁,然而,很多情况下,新出现的漏洞导致被保护对象的正常防御水平在短时间内急剧下降,本文基于证据链方法,针对新型僵尸网络漏洞快速反应,及时推断出被保护网络内可能出现的僵尸网络威胁,实验表明,该方法能够高效工作,及时发现被保护网络内的重大威胁。
张艺[5](2019)在《多源日志分析技术在计算机取证中的研究及应用》文中研究表明计算机犯罪行为是一种高科技犯罪行为,司法部门对这种行为进行审判、定罪需要充分合理的电子证据。而电子证据与传统证据相比,取证手段和分析方法都大相径庭。为还原计算机犯罪过程,有效地利用电子证据打击计算机犯罪行为,计算机取证分析技术已成为国内外研究的热点。日志记录了网络中各个设备的操作行为和运行状态,是计算机取证的重要数据来源。本文详细研究了对多源日志进行多重关联分析的计算机取证方法。获取不同数据源的日志进行取证分析,以降低场景遗漏的概率;通过基于属性相似度和基于因果关系的多重关联重构计算机犯罪场景,解释计算机犯罪过程,为司法部门进行计算机犯罪行为的审判提供有效的电子证据。本文主要研究工作如下:(1)通过多重关联分析方法完成计算机取证过程。首先使用基于属性相似度的关联算法对多源日志进行初步的关联分析,将具有相同或相似属性的日志聚合到同一犯罪场景中。第一重关联分析过后,日志被划分为多个犯罪场景。然后根据被取证系统的状态信息找到与之相对应的场景,再在该场景中进行第二重基于因果关系的关联分析,进一步分析日志之间存在的更深层次的逻辑联系。(2)在Peng Ning提出的基于因果关系的关联分析基础上,对因果关联算法进行改进,提出一种满足电子证据认定标准的逆向因果关联算法。从受害主机的最终状态开始分析,依据因果关联思想找到导致该状态的上一阶段攻击事件,以此类推,溯源整个计算机犯罪过程。并结合法律条令对电子证据的认定约束,排除不能作为证据使用的关联路径,实现计算机犯罪场景重构。(3)使用DARPA网络攻击测试数据集对改进的因果关联算法进行可行性验证。通过实验表明,改进后的算法在很大程度上化简了原有算法的复杂度,提高了计算机犯罪场景关联的效率。另通过获取北京交通大学多源日志数据对本文所述多重关联分析在实际取证过程中的应用进行实验,结果显示,相较于单纯地使用因果关联算法进行计算机取证来说,多重关联分析可大大减少犯罪场景重构过程的输入数据规模,同时减少不必要的证据关联。此外通过将多源日志取证与单源日志取证对比分析,证明多源日志取证能够有效地避免犯罪场景遗漏现象的发生。
韩宜轩[6](2019)在《工业控制系统网络攻击场景还原技术研究》文中进行了进一步梳理随着信息与通信技术的广泛应用,工业控制系统(Industrial Control System,ICS)面临着越来越严重的信息安全威胁,同时由于其信息网络与物理现场高度耦合,一旦遭受网络攻击入侵,极易对被控对象乃至物理空间产生严重破环。因此,需要在深入分析工控系统机理的基础上,构建工业信息安全防护体系,提高工业控制系统的安全性能。其中,攻击场景还原作为工业信息安全防护体系的重要组成部分,能够为安全加固提供有力的信息支撑,已逐渐成为科研人员的研究重点。本文以工业控制系统信息安全防护为背景,着眼于攻击场景还原的相关技术研究。文章首先分析了工业控制系统特点,并由此引出攻击场景还原的功能需求。其次,设计了适用于工业场景下的基于模糊证据推理的攻击取证技术方案,为攻击场景还原提供有效的数据支持。然后,在工业控制系统信息层、物理层高度耦合的特性基础上,提出了“关联”+“推理”的攻击场景还原技术方案。先在逻辑关系的基础上,设计了基于因果关联分析和相似性优化策略的告警关联和路径关联方案;再针对工业控制系统的运行特点及其设备功能间的安全关联依赖性,构建基于贝叶斯网络的攻击传播过程模型对关联证据进一步地计算、推理,从而实现既有安全事件的复盘。最后,采用硬件在环策略搭建出模拟实际工业控制系统的仿真实验平台,并在此平台基础上,实例化本文所提出的场景还原方案并验证所提方法的有效性。实验结果表明,本文设计的适用于工业环境的攻击场景还原方案,其在减少漏报、误报的基础上改善了场景分裂情况,能够有效识别出攻击者意图,为系统信息安全防护提供有力的洞察支持,具有一定理论价值及现实研究意义。
李肖肖[7](2018)在《网络安全事件应急响应的生命周期管理》文中认为随着互联网普及和信息技术的快速发展,网络攻击类型也变得复杂多样,安全形势日益严峻。因此为了保障网络安全,事件应急响应成为网络安全体系结构中不可或缺的重要环节,如何建立有效的计算机网络安全应急响应机制,成为研究的热点和重点。本文在现有的分布式应急响应管理系统CHAIRS(Cooperative Hybrid Aided Incidence Response System)的基础上,研究威胁信息的交换标准,对CHAIRS进行基于结构化威胁信息表达(STIX)的设计和应用,使得CHAIRS的案件信息、响应步骤和页面展示部分符合标准格式的表达,并实现在该标准表达下CHAIRS案件响应过程的自动化。同时支持STIX数据对象的标准格式输出,实现信息的交换和共享,提高响应的效率和准确性,保障网络安全。为使得CHAIRS案件信息标准化,论文研究了目前国内外成熟且应用广泛的威胁信息标准,对比分析各个标准的利弊和适用场景,并综合考虑CHAIRS的实际需求,最终选择基于STIX对CHAIRS案件信息组织结构进行设计。本文详细分析STIX数据对象在CHAIRS的存在形式和各个属性之间的映射关系,确保CHAIRS满足威胁信息的表达标准。在实现基于STIX的CHAIRS案件信息结构改进的基础上,本文实现了响应步骤的标准化和响应流程的自动化。通过分析和对比STIX中Course Of Action数据对象与CHAIRS响应步骤的异同,来标准化响应步骤的信息表达。然后研究应用STIX标准后的自动化响应流程。本文的自动化设计是在CHAIRS静态模板的基础上,对静态模板中的多个响应步骤解耦,并把输入、接口地址和配置等信息参数化,使得各个功能模块相对独立。这种低耦合的可配置模板,能够大大提高模板的灵活性和兼容性,提高案件响应的自动化程度。另外,为基于STIX的案件自动响应提供数据源的支持,本文设计并实现了汇聚各个检测系统结果的安全事件库。为了兼容多源异构的数据格式,并满足CHAIRS的使用性能需求,本文对比分析关系型和非关系型数据库(NoSQL),最终选择No SQL中的MongoDB来实现。同时为了保证可靠数据传输,采用基于TCP的Socket通信方式。最后本文以C&C控制器的自动追踪为例,验证应用STIX标准之后,案件自动响应的实现效果。论文最后对将来的应急响应进行了展望,指出关联性分析和取证报文结果分析的深入研究,将对提高应急响应效率产生重大的意义。
王伟[8](2018)在《基于知识图谱的分布式安全事件关联分析技术研究》文中研究指明随着互联网的快速发展,网络规模的不断扩大,网络安全问题给日常生活和企业运营等带来了严重挑战。网络安全事件关联分析技术通过收集多源安全信息,经过归一化预处理、安全事件验证及聚合和攻击场景重构若干步骤约减冗余警报、剔除虚假警报,通过建立算法模型重现攻击场景,是态势感知研究领域的核心模块,具有重要的研究价值。为此,本研究设计并实现了一个基于知识图谱的分布式安全事件关联分析系统,构建了网络安全知识图谱,在图谱的基础上设计了关联分析算法,并将算法并行化实现了分布式关联分析系统。主要工作有以下几个方面:1、设计了一个网络安全知识图谱模型,包括基础资产维、漏洞维、威胁维、报警维四个维度。分别定义了每个维度的实体属性构成,然后通过抽取多源开源安全知识,包括已经披露的漏洞库,系统软件版本库、公共攻击模式分类库,入侵检测系统报警信息库来填充每个维度实体模型。并且通过寻找各个维度之间的关联关系融合所有维度构建一个完整的网络安全知识图谱,图谱构建工具使用Neo4j图数据库。2、在已经实现的网络安全知识图谱的基础上设计实现了一种基于场景匹配的安全事件关联分析方法。整个关联过程包括安全事件预处理、安全事件验证以及攻击场景重建。场景采用知识图谱组织的形式进行建模,通过“与”和“或”两种逻辑关系表示与场景关联的超警报、安全事件以及漏洞。场景重建算法核心思想通过构造关于场景的逻辑表达式,根据逻辑计算结果给出场景匹配成功与否。3、为了满足大数据处理的需求,在关联分析算法设计的基础上设计并实现了分布式安全事件关联分析系统。系统主要借助目前使用广泛的若干分布式框架及数据库来构建实时数据分析系统,核心包括数据收集模块、归并分发模块、实时数据分析模块以及存储模块。
杜巍[9](2017)在《分布式入侵检测系统关键技术的研究和实现》文中研究说明随着互联网上升到国家战略层面,网络及计算机技术得到了飞速发展,互联网已经全面触及到生活和工作的方方面面,信息安全面临着前所未有的威胁。因为基于互联网的应用和数据大都采用分布式部署在不同网络和地区,它们面临的入侵攻击更分布且更复杂。在这样的背景环境下,对入侵检测以及分布式入侵检测提出了更高的要求。本文主要对入侵检测和分布式入侵检测系统中的关键技术进行分析,并对无法适应目前入侵检测要求的方面进行了改进。最后基于本文的分析研究以及进行的改进工作,设计并实现了一个分布式入侵检测系统。分析研究工作的主要包括:(1)对分布式入侵检测系统以及其各类系统结构进行分析,为后面分布式入侵检测系统的结构设计方案提供了参考基础。(2)对分布式入侵检测中的两个关键内容进行了分析:基于BEEP的通信协议和信息交换格式IDMEF。针对BEEP协议的分析,为本文设计并实现分布式入侵检测系统中的BEEP通信组件提供技术支持。同时基于对IDMEF的分析,提出其不足之处,是本文对其进行了改进和创新工作的基础。(3)本文深入分析了误用入侵检测中常用的多模式匹配算法,并通过实验对比各种算法的性能,为将来提高入侵检测性能提供了理论和实验基础。在改进和创新方面:(1)基于对IDMEF的分析,本文对IDMEF提出了它的不足,并对此进行了改进,设计了新的IDMEF格式版本IDMEFNew。针对目前互联网应用中数据交互的新要求和发展趋势,提出并设计了JSON取代XML的方案。(2)同时为了应对大量数据的传输,并为将来与大数据平台Hadoop进行数据交换上的对接,让系统能借助大数据技术进行入侵检测分析。本文设计并实现了基于Avro的IDMEFNew编码组件。本文基于之前的分析和实验工作,设计并实现了一个分布式入侵检测系统。该系统入侵检测部分采用误用入侵检测的开源软件Snort实现。在系统结构方面借助基于Agent的分布式思想,将入侵检测部件独立,并增加了独立运行的节点管理器。该系统的通信交换协议采用了BEEP协议来实现,并在数据交换格式部分,采用了本文对IDMEF的改进并设计实现的Avro IDMEFNew编码组件。
孙高超[10](2011)在《基于数据融合的构件化分布式入侵检测系统研究》文中研究表明伴随着网络技术的快速发展,攻击技术也产生了新的变化,进而对入侵检测技术提出了新的要求。入侵检测技术作为计算机安全体系中的一个重要组成部分,承担着保护系统安全的重要责任。传统的入侵检测系统检测误报率高、配置复杂升级能力差、处理能力有限,在大规模复杂高速网络的条件下已经很难满足入侵检测的需要。本文针对该问题利用移动Agent技术将构件化方法与数据融合技术相结合,提出了一种检测功能可动态改变的构件化分布式入侵检测系统模型。该系统模型由构件化入侵检测节点与综合处理中心两部分组成,采用移动Agent技术构建,实现了分布式入侵检测。系统具有检测功能可动态改变、检测准确率高、动态适应能力强、具备一定的入侵容忍能力的新特点。本文的研究内容主要分为以下几个方面:1、论文提出了检测功能可动态改变的构件化分布式入侵检测系统模型。针对传统的入侵检测系统存在的问题,本文利用移动Agent技术给出了一种综合使用多种检测技术的入侵检测系统模型。该模型可以利用数据融合技术提高入侵检测的准确性,同时还能利用移动Agent技术提高系统的动态适应能力。最后,文章对模型的构件化检测节点与综合处理中心进行了深入剖析。2、研究适用于入侵检测的决策级数据融合方法。首先针对D-S证据组合方法不能合成冲突证据的缺陷,引入证据冲突函数,给出了一种基于证据冲突函数的改进D-S证据组合方法。经实验证明,该方法有效的解决了D-S证据组合方法的缺陷,相对于其他改进方法具有收敛速度快的优势,更适用于入侵检测的决策级数据融合。然后将基于证据冲突函数的改进D-S证据组合方法用于构件化分布式入侵检测系统的决策级数据融合。实验表明,多种检测手段与数据融合方法的使用有效地提高了入侵检测的检测准确率。3、对基于数据融合的构件化分布式入侵检测系统进行了实现,详细的给出构件化检测节点与综合处理中心各组成构件的实现方法。在对构件化检测节点的检测构件实现中,针对模式匹配的性能问题,给出了一种利用并行计算提高模式匹配性能的方法,并进行了验证。对系统进行了实验,实验结果表明,该系统具有检测功能可改变的能力以及很强的动态适应能力和一定的入侵容忍能力,适用于复杂高速网络条件下的入侵检测。
二、IDMEF数据模型的改进与实现(论文开题报告)
(1)论文研究背景及目的
此处内容要求:
首先简单简介论文所研究问题的基本概念和背景,再而简单明了地指出论文所要研究解决的具体问题,并提出你的论文准备的观点或解决方法。
写法范例:
本文主要提出一款精简64位RISC处理器存储管理单元结构并详细分析其设计过程。在该MMU结构中,TLB采用叁个分离的TLB,TLB采用基于内容查找的相联存储器并行查找,支持粗粒度为64KB和细粒度为4KB两种页面大小,采用多级分层页表结构映射地址空间,并详细论述了四级页表转换过程,TLB结构组织等。该MMU结构将作为该处理器存储系统实现的一个重要组成部分。
(2)本文研究方法
调查法:该方法是有目的、有系统的搜集有关研究对象的具体信息。
观察法:用自己的感官和辅助工具直接观察研究对象从而得到有关信息。
实验法:通过主支变革、控制研究对象来发现与确认事物间的因果关系。
文献研究法:通过调查文献来获得资料,从而全面的、正确的了解掌握研究方法。
实证研究法:依据现有的科学理论和实践的需要提出设计。
定性分析法:对研究对象进行“质”的方面的研究,这个方法需要计算的数据较少。
定量分析法:通过具体的数字,使人们对研究对象的认识进一步精确化。
跨学科研究法:运用多学科的理论、方法和成果从整体上对某一课题进行研究。
功能分析法:这是社会科学用来分析社会现象的一种方法,从某一功能出发研究多个方面的影响。
模拟法:通过创设一个与原型相似的模型来间接研究原型某种特性的一种形容方法。
三、IDMEF数据模型的改进与实现(论文提纲范文)
(1)CPS环境下异类信息融合技术应用研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究历史与现状 |
| 1.2.1 CPS模型与面临的安全风险 |
| 1.2.2 多源异类信息融合 |
| 1.3 本文的研究内容 |
| 1.4 本论文的结构安排 |
| 第二章 相关技术理论 |
| 2.1 CPS环境下安全监测技术简述 |
| 2.1.1 物理信息异常监测技术 |
| 2.1.2 入侵检测技术 |
| 2.1.3 人脸识别技术 |
| 2.2 多源异类信息融合算法 |
| 2.2.1 信息融合算法分类 |
| 2.2.2 多源异类信息融合算法的选择 |
| 2.2.2.1 特征级融合算法对比分析 |
| 2.2.2.2 决策级融合算法对比分析 |
| 2.2.3 D-S证据理论基本概念 |
| 2.2.4 D-S理论融合规则的选择 |
| 2.3 其他相关算法 |
| 2.4 本章小结 |
| 第三章 异类信息多级融合模型 |
| 3.1 目标分析 |
| 3.2 场景建模 |
| 3.2.1 信息源 |
| 3.2.1.1 信息源的分类 |
| 3.2.2 告警信息格式规范化 |
| 3.2.2.1 入侵检测消息交换格式(IDMEF) |
| 3.2.2.2 统一告警信息类 |
| 3.2.3 异常事件多级抽象模型 |
| 3.2.3.1 异常事件多级抽象模型 |
| 3.2.3.2 异常事件的类别/证据的类别 |
| 3.2.4 异常风险评估流程 |
| 3.2.4.1 MLFM模型中异常风险评估流程 |
| 3.2.4.2 “证据”格式 |
| 3.2.4.3 “异常事件风险评估信息”格式 |
| 3.3 异类信息多级融合模型 |
| 3.3.1 算法模型结构 |
| 3.3.2 预处理并缓存 |
| 3.3.3 告警-证据映射阶段 |
| 3.3.4 同类证据融合阶段 |
| 3.3.5 异类信息融合阶段 |
| 3.3.6 时域融合阶段 |
| 3.3.7 事件响应和评估反馈 |
| 3.4 本章小结 |
| 第四章 仿真实验设计与结果分析 |
| 4.1 多源异类信息融合系统结构 |
| 4.2 仿真实验设计 |
| 4.2.1 仿真实验方案 |
| 4.2.2 数据来源 |
| 4.2.3 网络信息源选择与处理 |
| 4.2.4 物理信息源选择与处理 |
| 4.2.5 人员信息类信息源选择与处理 |
| 4.3 仿真分析和结果展示 |
| 4.3.1 单个信息源检测效果 |
| 4.3.1.1 网络信息源检测效果 |
| 4.3.1.2 基于异常检测的物理信息源检测效果 |
| 4.3.1.3 基于参数状态估计的物理信息源检测效果 |
| 4.3.1.4 人员信息类信息源源检测效果 |
| 4.3.2 同类证据融合阶段效果验证 |
| 4.3.2.1 多种融合判决方式效果对比 |
| 4.3.3 异类信息融合阶段效果验证 |
| 4.3.4 单判决周期内复合攻击场景检测效果验证 |
| 4.3.5 时域融合阶段检测效果验证 |
| 4.4 本章小结 |
| 第五章 全文总结与展望 |
| 5.1 全文总结 |
| 5.2 后续工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(2)基于机器学习的网络安全关键技术研究(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 背景与意义 |
| 1.2 现状及问题 |
| 1.2.1 研究现状 |
| 1.2.2 主要问题 |
| 1.3 本文工作 |
| 1.4 结构安排 |
| 第二章 统一安全信息采集模型 |
| 2.1 引言 |
| 2.2 相关研究 |
| 2.3 采集模型 |
| 2.3.1 目标及要求 |
| 2.3.2 模型结构 |
| 2.4 关键技术 |
| 2.4.1 信息收集 |
| 2.4.2 信息处理 |
| 2.4.3 信息关联 |
| 2.4.4 信息管理 |
| 2.5 实验 |
| 2.5.1 实验环境 |
| 2.5.2 模块实现 |
| 2.5.3 性能测试 |
| 2.6 本章小结 |
| 第三章 基于HSMM的未知协议解析方法 |
| 3.1 引言 |
| 3.2 相关背景 |
| 3.2.1 相关前提 |
| 3.2.2 理论基础 |
| 3.3 未知报文解析 |
| 3.3.1 HSMM未知报文模型 |
| 3.3.2 报文模型训练 |
| 3.3.3 报文分段和特征提取 |
| 3.4 实验 |
| 3.4.1 评估指标 |
| 3.4.2 字段提取 |
| 3.4.3 性能分析 |
| 3.4.4 参数影响 |
| 3.5 本章小结 |
| 第四章 基于模式发现的未知协议解析方法 |
| 4.1 引言 |
| 4.2 相关背景 |
| 4.2.1 相关前提 |
| 4.2.2 理论基础 |
| 4.3 模式测度 |
| 4.3.1 全局测度 |
| 4.3.2 局部测度 |
| 4.4 未知报文格式重构 |
| 4.4.1 报文格式ε机重构 |
| 4.4.2 格式重构和特征提取 |
| 4.5 实验 |
| 4.5.1 评估指标 |
| 4.5.2 字段提取 |
| 4.5.3 ε机构建 |
| 4.5.4 参数影响 |
| 4.5.5 状态数对比 |
| 4.5.6 全局测度分析 |
| 4.6 本章小结 |
| 第五章 增量更新的自适应网络入侵检测系统 |
| 5.1 引言 |
| 5.2 相关研究 |
| 5.3 相关背景 |
| 5.3.1 网络流量分析 |
| 5.3.2 粗糙集理论 |
| 5.4 ENID系统 |
| 5.4.1 特征选择 |
| 5.4.2 GMM聚类 |
| 5.4.3 增量更新 |
| 5.4.4 检测响应 |
| 5.5 实验 |
| 5.5.1 实验数据集 |
| 5.5.2 评估指标 |
| 5.5.3 特征选择 |
| 5.5.4 自适应聚类 |
| 5.5.5 增量聚类 |
| 5.5.6 参数影响 |
| 5.5.7 性能分析 |
| 5.6 本章小结 |
| 第六章 混合型的入侵检测系统仿真与测试 |
| 6.1 MIXID结构 |
| 6.2 仿真与测试 |
| 6.2.1 评估指标 |
| 6.2.2 拓扑设计 |
| 6.2.3 系统仿真 |
| 6.2.4 测试方案 |
| 6.2.5 测试结果 |
| 6.3 本章小结 |
| 第七章 总结与展望 |
| 7.1 总结 |
| 7.2 展望 |
| 致谢 |
| 参考文献 |
| 攻读博士学位期间取得的成果 |
(3)基于数据挖掘的网络安全态势感知研究(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 研究背景及意义 |
| 1.2 网络安全态势感知国内外研究现状 |
| 1.2.1 态势感知 |
| 1.2.2 网络态势感知 |
| 1.3 论文主要工作 |
| 1.4 论文组织结构 |
| 1.5 本章小结 |
| 第二章 论文相关理论及技术基础 |
| 2.1 网络安全态势感知相关概念 |
| 2.1.1 网络安全态势感知定义及模型 |
| 2.1.2 网络安全态势察觉 |
| 2.1.3 网络安全态势理解 |
| 2.1.4 网络安全态势评估 |
| 2.1.5 网络安全态势预测 |
| 2.2 数据挖掘相关概念和技术 |
| 2.2.1 数据挖掘定义及步骤 |
| 2.2.2 数据挖掘方法 |
| 2.3 频繁模式挖掘技术 |
| 2.3.1 频繁模式挖掘概念及重要定义 |
| 2.3.2 频繁模式挖掘算法 |
| 2.4 安全威胁情报标准化交换 |
| 2.5 本章小结 |
| 第三章 基于特征相似度的多源报警冗余消除研究 |
| 3.1 问题描述 |
| 3.2 报警日志格式分析 |
| 3.2.1 Snort报警日志 |
| 3.2.2 Ossec报警日志 |
| 3.2.3 防火墙报警日志 |
| 3.3 多源报警格式规范化 |
| 3.3.1 入侵检测消息格式交换标准IDMEF |
| 3.3.2 基于IDMEF模型的报警格式规范化 |
| 3.4 基于特征相似度的报警融合方法 |
| 3.4.1 报警融合方法相关工作 |
| 3.4.2 基于特征相似度的报警融合方法 |
| 3.5 实验与结果分析 |
| 3.5.1 实验数据及工具 |
| 3.5.2 实验过程及结果分析 |
| 3.6 本章小结 |
| 第四章 基于改进的Apriori算法的多步攻击模式挖掘 |
| 4.1 问题描述 |
| 4.2 关联规则挖掘算法 |
| 4.2.1 关联规则定义及挖掘步骤 |
| 4.2.2 Apriori算法 |
| 4.3 改进的Apriori算法 |
| 4.4 基于改进的Apriori算法的多步攻击模式挖掘 |
| 4.4.1 多步攻击 |
| 4.4.2 多步攻击模式挖掘 |
| 4.5 实验与结果分析 |
| 4.6 本章小结 |
| 第五章 基于DS证据理论的网络安全态势评估 |
| 5.1 问题描述 |
| 5.2 DS证据链理论 |
| 5.3 基于DS理论的网络安全态势评估 |
| 5.4 实验与结果分析 |
| 5.5 本章小结 |
| 第六章 总结与展望 |
| 6.1 工作总结 |
| 6.2 未来工作展望 |
| 参考文献 |
| 附录1 攻读硕士学位期间撰写的论文 |
| 附录2 攻读硕士学位期间申请的专利 |
| 附录3 攻读硕士学位期间参加的科研项目 |
| 致谢 |
(4)被管网内基于入侵警报关联的僵尸网络监测研究(论文提纲范文)
| 摘要 |
| Abstract |
| 主要符号对照表 |
| 第1章 绪论 |
| 1.1 研究背景与意义 |
| 1.2 僵尸网络研究现状 |
| 1.2.1 僵尸网络定义 |
| 1.2.2 僵尸网络分类 |
| 1.2.3 僵尸网络工作机制 |
| 1.3 警报关联研究现状 |
| 1.3.1 入侵检测信息交换格式 |
| 1.3.2 入侵警报关联方法 |
| 1.4 网络安全态势感知研究现状 |
| 1.4.1 态势感知定义及模型 |
| 1.4.2 态势感知技术 |
| 1.4.3 被管网态势感知 |
| 1.5 本文研究内容 |
| 1.6 论文组织结构 |
| 第2章 基于流模式的僵尸网络渗透检测 |
| 2.1 引言 |
| 2.2 相关工作 |
| 2.3 流模式生成模型 |
| 2.4 渗透行为检测算法 |
| 2.5 实验验证 |
| 2.5.1 基于Monster数据集 |
| 2.5.2 基于DARPA 2000数据集 |
| 2.5.3 基于ISOT僵尸网络数据集 |
| 2.6 本章小结 |
| 第3章 基于DNS警报和流记录关联的僵尸网络检测 |
| 3.1 引言 |
| 3.2 相关工作 |
| 3.2.1 基于特征关联的方法 |
| 3.2.2 基于社交关系挖掘的关联方法 |
| 3.3 基于域名、网络流关联的僵尸网络检测 |
| 3.3.1 基于域名的僵尸网络控制器空间分析 |
| 3.3.2 基于域名、流记录的僵尸网络关联 |
| 3.3.3 基于C&C通信周期性分析的僵尸网络相似性判定 |
| 3.4 实验验证 |
| 3.4.1 实验数据源 |
| 3.4.2 采样率确定 |
| 3.4.3 基于C&C通信周期的相似性判定 |
| 3.5 本章小结 |
| 第4章 基于大数据的僵尸网络行为学研究 |
| 4.1 引言 |
| 4.2 相关工作 |
| 4.2.1 恶意软件人为因素 |
| 4.2.2 主机行为 |
| 4.2.3 网络行为 |
| 4.2.4 传播行为 |
| 4.2.5 僵尸网络规模 |
| 4.3 基于大数据的僵尸网络行为研究 |
| 4.3.1 僵尸网络大数据存储模型研究 |
| 4.3.2 僵尸网络通信周期 |
| 4.3.3 僵尸网络传播增长模式 |
| 4.3.4 僵尸网络传播隐秘性研究 |
| 4.4 实验分析 |
| 4.4.1 僵尸网络规模计算 |
| 4.4.2 通信周期计算 |
| 4.4.3 僵尸网络隐秘性 |
| 4.4.4 性能分析 |
| 4.5 本章小结 |
| 第5章 基于证据链的僵尸网络态势感知 |
| 5.1 引言 |
| 5.2 相关工作 |
| 5.3 基于DS证据链的僵尸网络态势感知方法 |
| 5.4 实验与原型系统 |
| 5.4.1 Mirai僵尸网络简介 |
| 5.4.2 实验 |
| 5.5 本章小结 |
| 第6章 总结和展望 |
| 6.1 论文研究工作总结 |
| 6.2 论文不足及下一步工作展望 |
| 参考文献(Reference) |
| 致谢(Acknowledgement) |
| 附录 (Appendix) |
| NBOS流记录格式 |
| Net Flow流记录格式 |
| 索引(Index) |
| 图索引 |
| 表索引 |
| 定义索引 |
| 公式索引 |
| 算法索引 |
| 作者简介 |
| 攻读博士期间完成的论文(第一作者或通讯作者) |
| 攻读博士期间完成的论文(参与) |
| 攻读博士期间主持的科研项目 |
| 攻读博士学位期间参加的科研项目 |
| 攻读博士学位期间获得的科研奖励 |
(5)多源日志分析技术在计算机取证中的研究及应用(论文提纲范文)
| 致谢 |
| 摘要 |
| ABSTRACT |
| 1 绪论 |
| 1.1 研究背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 本文主要工作 |
| 1.4 本文组织结构 |
| 2 计算机取证相关研究 |
| 2.1 计算机取证概念 |
| 2.1.1 计算机取证定义 |
| 2.1.2 计算机取证过程模型 |
| 2.2 日志概述 |
| 2.2.1 日志的基本概念及作用 |
| 2.2.2 日志作为电子证据的科学性 |
| 2.2.3 计算机取证常见日志分析 |
| 2.3 多源日志格式标准化研究 |
| 2.3.1 IDMEF模型 |
| 2.3.2 IDMEF格式扩展 |
| 2.4 基于日志的场景关联方法研究 |
| 2.4.1 基于属性相似度的关联分析 |
| 2.4.2 基于已知场景的关联分析 |
| 2.4.3 基于因果关系的关联分析 |
| 2.4.4 基于统计因果的关联分析 |
| 2.5 本章小结 |
| 3 基于属性相似度的日志关联分析 |
| 3.1 基于多源日志的计算机取证过程 |
| 3.2 基于属性相似度的关联分析 |
| 3.2.1 基于属性相似度的关联流程 |
| 3.2.2 属性关联相似度计算 |
| 3.2.3 基于属性相似度的聚合规则 |
| 3.2.4 基于聚合规则的属性相似度权值分配 |
| 3.3 基于属性相似度的关联算法 |
| 3.4 本章小结 |
| 4 基于改进的因果关联算法的计算机犯罪场景重构 |
| 4.1 多步攻击问题分析 |
| 4.2 逆向因果关联算法分析 |
| 4.2.1 事件的前提和结果 |
| 4.2.2 超级事件类型和超级事件 |
| 4.2.3 因果关联分析算法 |
| 4.2.4 逆向因果关联算法 |
| 4.3 电子证据认定标准 |
| 4.3.1 时间约束 |
| 4.3.2 电子证据的相关性 |
| 4.4 多源日志多重关联的时间复杂度分析 |
| 4.5 本章小结 |
| 5 实验结果与分析 |
| 5.1 实验环境与实验数据 |
| 5.2 数据处理流程设计 |
| 5.3 数据预处理 |
| 5.4 冗余数据处理 |
| 5.5 通过多重关联进行计算机取证 |
| 5.5.1 基于属性相似度的第一重关联分析 |
| 5.5.2 逆向因果关联算法有效性验证 |
| 5.5.3 多源日志分析在实际取证中的应用 |
| 5.5.4 电子证据认定标准在实际取证中的应用分析 |
| 5.6 本章小结 |
| 6 总结与展望 |
| 6.1 本文总结 |
| 6.2 未来展望 |
| 参考文献 |
| 作者简历及攻读硕士学位期间取得的研究成果 |
| 学位论文数据集 |
(6)工业控制系统网络攻击场景还原技术研究(论文提纲范文)
| 摘要 |
| Abstract |
| 1 绪论 |
| 1.1 课题背景及意义 |
| 1.2 国内外研究现状 |
| 1.3 论文结构及主要研究内容 |
| 2 工业控制系统网络攻击场景还原总体方案设计 |
| 2.1 工业控制系统特点概述 |
| 2.2 网络攻击场景还原需求分析 |
| 2.3 网络攻击场景还原总体架构设计 |
| 2.4 本章小结 |
| 3 基于模糊证据推理的攻击取证方法 |
| 3.1 基于模糊证据推理的攻击取证技术框架 |
| 3.2 多源异构告警证据提取 |
| 3.3 单一告警证据的模糊化处理 |
| 3.4 多源告警证据相似度分析 |
| 3.5 本章小结 |
| 4 网络攻击路径的关联与推理 |
| 4.1 网络攻击路径的关联与推理技术框架 |
| 4.2 告警证据因果关联 |
| 4.3 攻击路径概率关联 |
| 4.4 基于贝叶斯网的攻击路径推理 |
| 4.5 本章小结 |
| 5 实验验证分析 |
| 5.1 实验环境搭建 |
| 5.2 场景还原实验验证 |
| 5.3 本章小结 |
| 6 总结与展望 |
| 6.1 工作总结 |
| 6.2 研究展望 |
| 致谢 |
| 参考文献 |
| 附录1 攻读学位期间发表的成果目录 |
(7)网络安全事件应急响应的生命周期管理(论文提纲范文)
| 摘要 |
| Abstract |
| 第一章 绪论 |
| 1.1 引言 |
| 1.2 研究背景 |
| 1.2.1 CERNET的安全保障 |
| 1.2.2 分布式应急响应系统 |
| 1.2.3 相关支撑环境 |
| 1.3 研究现状 |
| 1.4 论文研究目标和内容 |
| 1.5 论文的组织结构 |
| 第二章 基于STIX的CHAIRS案件信息设计 |
| 2.1 威胁情报 |
| 2.2 典型的威胁情报的标准语言 |
| 2.2.1 入侵检测消息交换格式(IDMEF) |
| 2.2.2 事件对象描述交换格式(IODEF) |
| 2.2.3 开源威胁指标(OpenIOC) |
| 2.2.4 结构化威胁信息表达(STIX) |
| 2.2.5 几种标准的对比与分析 |
| 2.3 基于STIX的CHAIRS数据组织设计 |
| 2.3.1 设计原则 |
| 2.3.2 数据组织的总体设计 |
| 2.3.3 基于STIX的案件的摘要信息 |
| 2.3.4 基于STIX的案件特征信息 |
| 2.3.5 Observed Data库 |
| 2.4 基于STIX的系统实现 |
| 2.5 本章小结 |
| 第三章 安全事件库的建设 |
| 3.1 需求分析 |
| 3.2 数据库设计 |
| 3.2.1 MySQL与MongoDB比较 |
| 3.2.2 数据结构设计 |
| 3.3 功能模块的设计 |
| 3.3.1 总体结构 |
| 3.3.2 通信功能模块设计 |
| 3.3.3 冗余消除模块设计 |
| 3.3.4 辅助功能模块设计 |
| 3.4 数据库的实现 |
| 3.5 系统验证 |
| 3.6 本章小结 |
| 第四章 基于STIX的案件自动响应 |
| 4.1 需求分析 |
| 4.2 基于STIX的响应动作 |
| 4.3 基于STIX的案件自动响应 |
| 4.3.1 数据交互接口设计 |
| 4.3.2 可配置模板的设计 |
| 4.3.3 基于STIX的自动响应 |
| 4.4 系统验证 |
| 4.5 本章小结 |
| 第五章 总结与展望 |
| 5.1 论文总结 |
| 5.2 论文不足以及未来的工作展望 |
| 致谢 |
| 参考文献 |
| 作者简介 |
(8)基于知识图谱的分布式安全事件关联分析技术研究(论文提纲范文)
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.2 研究意义 |
| 1.3 研究思路及主要工作 |
| 1.4 论文组织结构 |
| 第二章 网络安全事件关联相关研究 |
| 2.1 安全事件关联分析任务及流程 |
| 2.2 安全事件关联分析方法 |
| 2.2.1 基于相似度的关联方法 |
| 2.2.2 基于攻击顺序的关联分析方法 |
| 2.2.3 基于多源知识集成的关联分析方法 |
| 2.3 网络安全本体及知识图谱构建现状 |
| 2.4 系统框架 |
| 2.5 本章小结 |
| 第三章 网络安全知识图谱构建 |
| 3.1 知识图谱构建流程 |
| 3.1.1 知识图谱 |
| 3.1.2 基于图数据库Neo4j构建知识图谱 |
| 3.2 多源知识抽取 |
| 3.2.1 漏洞维知识抽取 |
| 3.2.2 资产维知识抽取 |
| 3.2.3 攻击威胁维知识抽取 |
| 3.2.4 报警维知识抽取 |
| 3.3 知识融合 |
| 3.4 本章小结 |
| 第四章 基于知识图谱的安全事件关联分析方法 |
| 4.1 安全事件预处理 |
| 4.2 基于知识图谱搜索的安全事件验证 |
| 4.3 攻击场景重建 |
| 4.3.1 基于知识图谱建模攻击场景 |
| 4.3.2 基于场景匹配的攻击场景重建算法 |
| 4.4 实验评测及结果分析 |
| 4.4.1 实验数据 |
| 4.4.2 实验结果及分析 |
| 4.5 本章小结 |
| 第五章 分布式关联分析系统设计与实现 |
| 5.1 分布式系统框架设计 |
| 5.2 系统设计与实现 |
| 5.2.1 基于Flume的数据采集模块 |
| 5.2.2 基于Kafka的数据汇集归并分发模块 |
| 5.2.3 基于Storm的实时关联分析模块 |
| 5.2.4 数据存储模块 |
| 5.3 实验评测及结果分析 |
| 5.3.1 测试目标与环境 |
| 5.3.2 仿真测试 |
| 5.4 本章小结 |
| 第六章 总结与展望 |
| 致谢 |
| 参考文献 |
| 作者在学期间取得的学术成果 |
(9)分布式入侵检测系统关键技术的研究和实现(论文提纲范文)
| 摘要 |
| abstract |
| 第一章 绪论 |
| 1.1 研究工作的背景与意义 |
| 1.2 国内外研究现状 |
| 1.2.1 入侵检测中的研究现状 |
| 1.2.2 分布式入侵检测系统的研究现状 |
| 1.3 主要工作和研究内容 |
| 1.4 结构安排 |
| 第二章 分布式入侵检测关键技术的分析 |
| 2.1 入侵检测概述 |
| 2.2 入侵检测方法 |
| 2.2.1 误用入侵检测与异常入侵检测 |
| 2.2.2 误用入侵检测开源软件Snort简介 |
| 2.3 分布式入侵检测 |
| 2.3.1 系统结构 |
| 2.3.2 几种系统结构分析 |
| 2.4 分布式入侵检测系统之间的通信交换协议BEEP |
| 2.4.1 概述 |
| 2.4.2 基于BEEP的通信交换协议 |
| 2.4.3 BEEP协议的结构 |
| 2.4.4 BEEP协议的通信模式 |
| 2.4.5 BEEP协议与TCP之间的关系 |
| 2.4.6 BEEP协议在分布式入侵检测系统中的应用 |
| 2.5 本章小结 |
| 第三章 入侵检测中的模式匹配算法与分析 |
| 3.1 入侵检测中的模式匹配算法 |
| 3.2 单模式匹配算法概述 |
| 3.2.1 KMP算法概述 |
| 3.2.2 Boyer-Moore(BM)算法 |
| 3.3 多模式匹配算法 |
| 3.3.1 Wu-Manber算法 |
| 3.3.2 SFKSearch算法 |
| 3.3.3 Aho-Corasick算法 |
| 3.3.4 Hyperscan正则匹配引擎 |
| 3.4 实验比较多模式匹配算法WM,SFKSearch,AC和Hyperscan |
| 3.5 本章小结 |
| 第四章 分布式入侵检测信息交换格式IDMEF及其改进 |
| 4.1 分布式入侵检测的数据交换格式IDMEF |
| 4.1.1 IDMEF介绍 |
| 4.1.2 IDMEF中的数据定义 |
| 4.2 IDMEF的不足 |
| 4.3 Avro.IDMEFNew对IDMEF中的改进 |
| 4.3.1 对IDMEF的数据结构进行修改 |
| 4.3.2 用JSON取代XML DTD和XML |
| 4.3.3 基于数据交换协议Apache.Avro的实现 |
| 4.3.4 定义和解析适用于Avro的IDMEFNew Schema |
| 4.3.5 基于Avro的IDMEFNew编码和解码功能的实现 |
| 4.3.6 IDMEFNew标准化库的实现 |
| 4.4 本章小结 |
| 第五章 分布式入侵检测系统的设计与实现 |
| 5.1 分布式入侵检测系统的设计方案 |
| 5.1.1 功能需求 |
| 5.1.2 系统结构 |
| 5.1.3 模块及功能详述 |
| 5.1.4 开发平台及组件 |
| 5.2 BEEP通信组件的设计和实现 |
| 5.2.1 Vortex BEEP库介绍 |
| 5.2.2 BEEP通信组件的设计和实现 |
| 5.3 检测节点的实现 |
| 5.3.1 检测节点的结构与功能 |
| 5.3.2 基于Snort构建入侵检测部件 |
| 5.3.3 节点管理器与Snort之间的IPC模块的实现 |
| 5.3.4 节点管理器核心功能的实现 |
| 5.4 管理中心的实现 |
| 5.4.1 管理中心的结构与功能 |
| 5.4.2 数据库的设计 |
| 5.4.3 管理中心核心业务的实现 |
| 5.5 控制台的实现 |
| 5.6 系统测试运行及示例演示 |
| 5.6.1 系统测试运行环境 |
| 5.6.2 Snort的部署 |
| 5.6.3 示例演示 |
| 5.7 该系统未来与运维系统的整合 |
| 5.7.1 运维系统的介绍 |
| 5.7.2 未来与运维系统中的整合 |
| 5.8 本章小结 |
| 第六章 结论 |
| 6.1 工作总结 |
| 6.2 工作展望 |
| 致谢 |
| 参考文献 |
| 攻读硕士学位期间取得的成果 |
(10)基于数据融合的构件化分布式入侵检测系统研究(论文提纲范文)
| 表目录 |
| 图目录 |
| 摘要 |
| ABSTRACT |
| 第一章 绪论 |
| 1.1 研究背景 |
| 1.1.1 入侵检测技术简介 |
| 1.1.2 研究入侵检测的意义 |
| 1.2 入侵检测研究的必要性和现状 |
| 1.2.1 研究必要性 |
| 1.2.2 研究现状 |
| 1.3 论文主要工作 |
| 1.4 论文结构安排 |
| 第二章 相关理论与技术概述 |
| 2.1 入侵检测技术 |
| 2.1.1 入侵检测方法 |
| 2.1.2 入侵检测数据源 |
| 2.1.3 入侵检测体系结构 |
| 2.1.4 入侵检测系统标准化 |
| 2.2 移动Agent 技术 |
| 2.2.1 移动Agent |
| 2.2.2 移动Agent 系统的结构 |
| 2.2.3 移动Agent 系统——Aglet |
| 2.3 数据融合技术 |
| 2.3.1 数据融合模型 |
| 2.3.2 数据融合分类 |
| 2.3.3 入侵检测的数据融合模型 |
| 2.4 本章小结 |
| 第三章 基于数据融合的构件化分布式入侵检测系统设计 |
| 3.1 现有模型研究 |
| 3.1.1 AAFID |
| 3.1.2 基于Agent 的分布式入侵检测系统模型 |
| 3.1.3 MA_IDS 模型 |
| 3.2 基于数据融合的构件化分布式入侵检测系统 |
| 3.2.1 基于数据融合的构件化分布式入侵检测系统模型设计 |
| 3.2.2 检测节点设计 |
| 3.2.3 综合处理中心设计 |
| 3.3 系统的特点 |
| 3.4 本章小结 |
| 第四章 基于冲突函数的改进D-S 证据理论 |
| 4.1 D-S 证据理论 |
| 4.1.1 D-S 证据理论基础 |
| 4.1.2 D-S 证据理论的冲突问题 |
| 4.1.3 已有的改进方法 |
| 4.2 基于冲突函数的改进D-S 证据理论组合方法 |
| 4.3 基于冲突函数的改进D-S 证据理论组合方法实验 |
| 4.4 改进的D-S 证据理论组合方法决策级数据融合 |
| 4.4.1 决策级融合流程 |
| 4.4.2 决策级融合实验 |
| 4.5 本章小结 |
| 第五章 基于数据融合的构件化分布式入侵检测系统的实现及实验 |
| 5.1 基于数据融合的构件化分布式入侵检测系统的通信 |
| 5.2 基于数据融合的构件化分布式入侵检测系统检测节点的实现 |
| 5.2.1 数据采集构件 |
| 5.2.2 入侵检测构件 |
| 5.2.3 决策级融合构件 |
| 5.2.4 决策约减构件 |
| 5.2.5 监控构件 |
| 5.2.6 巡视构件 |
| 5.3 基于数据融合的构件化分布式入侵检测系统的综合处理中心的实现 |
| 5.3.1 入侵检测构件库 |
| 5.3.2 数据关联构件 |
| 5.3.3 态势评估构件 |
| 5.4 基于数据融合的构件化分布式入侵检测系统实验 |
| 5.4.1 实验环境 |
| 5.4.2 基于数据融合的构件化分布式入侵检测系统的功能实验 |
| 5.4.3 基于数据融合的构件化分布式入侵检测系统的性能实验 |
| 5.5 本章小结 |
| 结束语 |
| 一、 全文总结 |
| 二、 展望 |
| 参考文献 |
| 作者简历攻读硕士学位期间完成的主要工作 |
| 一、个人简历 |
| 二、攻读硕士期间发表的学位论文 |
| 三、攻读硕士学位期间的科研情况 |
| 致谢 |
四、IDMEF数据模型的改进与实现(论文参考文献)
- [1]CPS环境下异类信息融合技术应用研究[D]. 王昱人. 电子科技大学, 2021(01)
- [2]基于机器学习的网络安全关键技术研究[D]. 刘文祺. 电子科技大学, 2020(11)
- [3]基于数据挖掘的网络安全态势感知研究[D]. 叶青. 南京邮电大学, 2019(03)
- [4]被管网内基于入侵警报关联的僵尸网络监测研究[D]. 刘尚东. 东南大学, 2019(12)
- [5]多源日志分析技术在计算机取证中的研究及应用[D]. 张艺. 北京交通大学, 2019(01)
- [6]工业控制系统网络攻击场景还原技术研究[D]. 韩宜轩. 华中科技大学, 2019
- [7]网络安全事件应急响应的生命周期管理[D]. 李肖肖. 东南大学, 2018(05)
- [8]基于知识图谱的分布式安全事件关联分析技术研究[D]. 王伟. 国防科技大学, 2018(02)
- [9]分布式入侵检测系统关键技术的研究和实现[D]. 杜巍. 电子科技大学, 2017(02)
- [10]基于数据融合的构件化分布式入侵检测系统研究[D]. 孙高超. 解放军信息工程大学, 2011(07)