网络安全事件预警系统研究

论文摘要

近年来随着网络技术的发展及云技术的演化，网络规模急速扩张，网络已经形成了一个个庞大复杂且互相连通的网络。大型网络安全管理中的一个重要问题是网络管理者无法及时准确地掌握网络中发生的安全事件，以便对安全事件作出响应。现有的网络安全事件检测系统主要是在网络的一个层面进行检测，常常出现大量的误报或漏报。如基于流特征的检测是通过网络流的异常变化来检测安全事件，但某些网络安全事件在单条链路上并不一定表现出非常明显的流异常。而深度包检测方法采用检测数据包应用载荷与已知特征进行模式匹配，准确性较高，但消耗资源大且漏报率较高。本文提出了一种复合型网络安全事件检测方法，该方法既结合了基于流特征的检测，从宏观上检测整个网络的安全状态，又结合了深度包检测的方法，对某些安全事件进行包内容的详细特征检测，提高了安全事件检测的准确度。复合型检测方法先通过对数据流进行模式匹配,若符合规则数达到一定阈值后则通过守护进程激活对应的深度包检测进程,深度包检测进程调取对应的五元组数据，对特定流量进行数据包抓取，并匹配相应的正则表达式，最后将结果存入数据库中并产生预警信息。本文还提出了基于模块化的网络安全系统设计思想，把安全系统中的功能模块做成独立的可装载模块，并可通过应用商店在线安装及更新，为用户提供即方便又满足其需求的解决方案。本文采用提出的复合型检测方法设计并实现了一个面向大型网络的安全事件预警系统，系统在天津教育网中部署实验，成功发现了网络安全事件，从而证明了提出方法的有效性。本系统使对网络安全事件的预警更加准确直观，增加了大型网络安全事件预警手段。

论文目录

摘要

Abstract

第一章绪论

1.1 研究背景

1.2 国内外现状

1.2.1 数据流检测网络安全事件

1.2.2 深度包检测网络安全事件

1.2.3 统一安全管理系统

1.3 论文组织结构

第二章相关理论与技术

2.1 网络安全事件检测技术

2.1.1 NetFlow 技术

2.1.2 DPI 技术

2.1.3 正则表达式技术分析与应用

2.2 网络安全开发包

2.3 模块化及应用商店理念

2.4 系统动态可视化技术

2.4.1 PHP 及 Shell 介绍

2.4.2 AJAX 及 JQuery 介绍

2.4.3 IP 地址定位及 Google Maps API

2.5 本章小结

第三章网络安全事件预警系统方法研究

3.1 系统架构

3.2 系统处理流程

3.3 流特征检测方法

3.4 深度包检测方法

3.5 复合型检测方法研究与分析

3.6 本章小结

第四章网络安全事件预警系统设计与实现

4.1 系统整体结构设计与实现

4.2 安全预警中心设计与实现

4.2.1 数据流预警设计与实现

4.2.2 基于 DPI 的安全事件检测设计与实现

4.2.3 复合型检测实现

4.2.4 规则管理实现与介绍

4.3 模块化系统分析与实现

4.3.1 可行性

4.3.2 优点及长处

4.3.3 模块化系统结构

4.3.4 模块化系统实现

4.4 系统基本功能实现与介绍

4.4.1 系统信息介绍

4.4.2 系统设置实现

4.4.3 网络设置实现

4.4.4 设备管理实现

4.5 本章小结

第五章实验及性能分析

5.1 模拟攻击测试实验

5.2 实际网络环境长时间测试

5.3 模块化系统测试

5.4 本章小结

第六章总结与展望

6.1 本文的创新之处

6.2 展望

参考文献

发表论文和科研情况说明

致谢

网络安全事件预警系统研究

论文摘要

论文目录

相关论文文献

猜你喜欢