隨着互聯網的快速發展,網絡規模的不斷擴大,網絡安全問題給日常生活和
企業運營等帶來了嚴重挑戰。網絡安全事件關聯分析技術通過收集多源安全信息,
經過歸一化預處理、安全事件驗證及聚合和攻擊場景重構若干步驟約減冗余警報、
剔除虛假警報,通過建立算法模型重現攻擊場景,是態勢感知研究領域的核心模
塊,具有重要的研究價值。為此,本研究設計並實現了一個基於知識圖譜的分布
式安全事件關聯分析系統,構建了網絡安全知識圖譜,在圖譜的基礎上設計了關
聯分析算法,並將算法並行化實現了分布式關聯分析系統。主要工作有以下幾個
方面:
1、設計了一個網絡安全知識圖譜模型,包括基礎資產維、漏洞維、威脅維、
報警維四個維度。分別定義了每個維度的實體屬性構成,然后通過抽取多源開源
安全知識,包括已經披露的漏洞庫,系統軟件版本庫、公共攻擊模式分類庫,入
侵檢測系統報警信息庫來填充每個維度實體模型。並且通過尋找各個維度之間的
關聯關系融合所有維度構建一個完整的網絡安全知識圖譜,圖譜構建工具使用
Neo4j 圖數據庫。
2、在已經實現的網絡安全知識圖譜的基礎上設計實現了一種基於場景匹配的
安全事件關聯分析方法。整個關聯過程包括安全事件預處理、安全事件驗證以及
攻擊場景重建。場景采用知識圖譜組織的形式進行建模,通過“與”和“或”兩
種邏輯關系表示與場景關聯的超警報、安全事件以及漏洞。場景重建算法核心思
想通過構造關於場景的邏輯表達式,根據邏輯計算結果給出場景匹配成功與否。
3、為了滿足大數據處理的需求,在關聯分析算法設計的基礎上設計並實現了
分布式安全事件關聯分析系統。系統主要借助目前使用廣泛的若干分布式框架及
數據庫來構建實時數據分析系統,核心包括數據收集模塊、歸並分發模塊、實時
數據分析模塊以及存儲模塊。