东南大学计算机科学与工程学院.ppt

上传人:ga****84 文档编号:387707 上传时间:2018-09-30 格式:PPT 页数:13 大小:1.20MB
下载 相关 举报
东南大学计算机科学与工程学院.ppt_第1页
第1页 / 共13页
东南大学计算机科学与工程学院.ppt_第2页
第2页 / 共13页
东南大学计算机科学与工程学院.ppt_第3页
第3页 / 共13页
东南大学计算机科学与工程学院.ppt_第4页
第4页 / 共13页
东南大学计算机科学与工程学院.ppt_第5页
第5页 / 共13页
点击查看更多>>
资源描述

1、面向网络安全事件的入侵检测与取证分析,龚俭 王卓然 苏琪 杨望,(东南大学计算机科学与工程学院,南京,211189),2018/9/30,提纲,研究概述自动化响应模型介绍自动化响应模型的设计与实现总结,研究概述,研究背景 “十一五”211工程在CERNET网络和38个核心节点上建设有高性能网络管理与安全保障系统,CHAIRS系统是该项目的应急响应协同系统, 为各节点的安全管理人员提供应急响应管理功能,提高了CERNET安全事件响应的效率。,研究背景 随着大量安全事件的检出,在应急响应过程中原有的安全保障系统暴露出缺乏响应的入侵跟踪与取证分析的缺陷。研究内容在对原有的安全保障系统进行功能上的增强

2、的基础上,设计并实现了入侵检测与取证分析自动化响应模型,以提高安全事件应急响应的效率。,自动化响应模型介绍,自动化响应流程,自动化响应模型的设计与实现,系统结构图,自动化响应模型设计重点在于MONSTER系统中入侵检测和取证分析功能的实现。,自动化响应模型的设计与实现,报文采集 当接收到HYDRA系统发送过来的采集任务配置任务(含有案件编号,采集时间范围信息)后,报文采集模块自动配置PF_RING ZC零拷贝工具,将HYDRA转发过来的特定对象报文收集并保存为pcap文件,文件保存在以案件编号,采集时间范围作为唯一标识的文件中。,自动化响应模型的设计与实现,入侵检测 报文检测模块 1. Sur

3、icata检测得到警报日志文件eve.json 2. 调用脚本对eve.json进行处理,提取其中的signature和四元组信息生成原始安全事件 事件后处理模块 利用多特征关联冗余消除算法进行冗余消除,生成简单攻击事件,最后发送给CHAIRS系统。,自动化响应模型的设计与实现,取证分析 1. 当接收到报文采集模块的通知信息后,Bro将自动进行离线检测产生日志文件。 2. 抽取日志文件中的数据(主要是bro报警内容字段信息)生成当前的网络行为特征,若发现异常的网络行为特征,则根据不同IP发生各种网络行为的频度进行统计,进而发现哪些机器正在发起攻击或者已经感染网络病毒。,自动化响应模型的设计与实

4、现,实验结果 实验时间:2016.05.30-2016.06.20 实验途径:僵尸网络主机的自动化响应 自动化响应过程时间轴:,自动化响应模型的设计与实现,报文采集结果入侵检测结果取证分析结果,总结与展望,总结 本文在对原有的安全保障系统进行了功能上的增强的基础上,设计并实现了入侵检测与取证分析自动化响应模型,以提高安全事件应急响应的效率。在实验中,通过僵尸网络检测的实例对自动化应急响应模型中的报文采集和过滤,入侵检测和取证分析流程进行了详细分析和说明。实验结果验证了该响应模型对于提升安全事件应急响应效率的有效性。改善目标进一步的减少人工的干预。综合多核处理器下并发程序设计的要点进行并发检测,进一步提升自动化响应的效率。,The End&Thanks,

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 学术论文资料库 > 毕业论文

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。