网络安全设备联动系统中事件关联模型的研究和应用.pdf

Classified Index:
:



Thesis for the Master Degree
Research and Application of Event Correlation
Model work Security Equipment
Linkage System




Candidate: Cao Lipu
Supervisor: Prof. Cheng Xiaorong
School: School of Control puter
Engineering
Date of Defence: March, 2014
Degree-Conferring-Institution: North China Electric Power
University
华北电力大学硕士学位论文原创性声明
本人郑重声明:此处所提交的硕士学位论文《网络安全设备联动
系统中事件关联模型的研究与应用》,是本人在导师指导下,在华北电
力大学攻读硕士学位期间独立进行研究工作所取得的成果。据本人所
知, 论文中除已注明部分外不包含他人已发表或撰写过的研究成果。
对本文的研究工作做出重要贡献的个人和集体, 均已在文中以明确方
式注明。本声明的法律结果将完全由本人承担。

作者签名: 日期: 年月日


华北电力大学硕士学位论文使用授权书
《网络安全设备联动系统中事件关联模型的研究与应用》系本人在
华北电力大学攻读硕士学位期间在导师指导下完成的硕士学位论文。
本论文的研究成果归华北电力大学所有, 本论文的研究内容不得以其
它单位的名义发表。本人完全了解华北电力大学关于保存、使用学位
论文的规定, 同意学校保留并向有关部门送交论文的复印件和电子版
本, 允许论文被查阅和借阅。本人授权华北电力大学, 可以采用影印、
缩印或其他复制手段保存论文,可以公布论文的全部或部分内容。

本学位论文属于(请在以下相应方框内打“√”):
保密□,在年解密后适用本授权书
不保密□

作者签名: 日期: 年月日

导师签名: 日期: 年月日
华北电力大学硕士学位论文
摘要
随着 的飞速发展,网络安全问题俨然成为困扰人们的一类重大问
题,各类安全设备的单兵作战已经不能满足网络安全的需求,急需将它们有效
地协助起来更好的应对愈来愈复杂的网络问题。如何将各种各样的安全设备联
动起来,自动地预测网络中存在的危险,已经成为当前网络信息安全研究的重
点问题之一。
本文结合网络安全设备联动系统中各类安全设备产生的安全事件的特点,
针对增量关联规则算法--FUP 算法存在的不足,引入矩阵的思想,改进了 FUP
算法,并通过理论分析和仿真实验验证了改进后的算法在时间复杂度和空间复
杂度方面的优越性。在此基础上,设计了一个层次化的事件关联模型。该模型
首先收集代理产生的事件信息,用统一的事件形式将其格式化,然后通过过滤
规则和聚合规则消除冗余重复的数据,并将处理过的安全事件保存到事件数据
库;接着用改进的 FUP 算法挖掘安全事件,找出隐藏在数据背后的关联规则,
通知管理员,及时采取防范措施,预防可能发生的危险事件;管理员通过管理
界面可以查询特定安全事件以及当前的网络状况等。最后,将此模型应用到网
络安全设备联动系统中,以防火墙和用户产生的日志作为数据源,根据数据在
模型中的处理流程,实现了对异常行为和攻击的预测,验证了模型的有效性,
进一步完善和提高了系统的整体性能。

关键词:联动系统;事件关联模型;FUP 算法;关联规则;安全事件


I
华北电力大学硕士学位论文
Abstract
With the rapid development of , network security problem has
e a kind of major problems puzzling people. Individual fighting of all security
equipments can no longer meet the needs work security, it urgently needs
to effectively assist them to deal with the work problems.
How to link up various security equipments, automatically predicting dangers