网络安全管理中的报警关联研究
随着网络大规模化和入侵技术复杂化,安全产品和技术大量出现,它们产生的报警或日志信息是海量的、孤立的、低层次的,而且具有很高的误报警率,给管理员分析报警和及时响应带来极大困难。利用报警融合和关联技术可以有效的减少误报,建立孤立报警间的逻辑联系,重构整个攻击场景。通过分析攻击场景来确定攻击意图,预测新的攻击,为安全管理员提供高层次的整体的态势估计,从而有效地预警和响应。本文首先介绍报警关联技术的必要性、相关概念和国内外研究现状,综述各种报警关联体系结构,给出一个综合的报警关联系统功能模型,然后重点研究分析现有的各种报警聚合与关联算法和典型的报警关联工具。最后,指出该领域所面临的重要技术问题和技术发展方向。
网络安全 态势评估 攻击场景 报警关联 报警聚合
姜伟 方滨兴 田志宏 张宏莉 张永铮 云晓春
哈尔滨工业大学计算机网络信息安全研究中心,哈尔滨 150001 哈尔滨工业大学计算机网络信息安全研究中心,哈尔滨 150001 中科科学院 计算技术研冗所,北京 100080 中科科学院 计算技术研冗所,北京 100080
国内会议
深圳
中文
105-115
2008-04-07(万方平台首次上网日期,不代表论文的发表时间)