《面向网络安全事件的入侵检测与取证分析》由会员分享,可在线阅读,更多相关《面向网络安全事件的入侵检测与取证分析(13页珍藏版)》请在金锄头文库上搜索。
1、面向网络安全事件的入侵检测与取证分析提纲n研究概述n自动化响应模型介绍n自动化响应模型的设计与实现n总结研究概述n研究背景 “十一五”211工程在CERNET网络和38个核心节点上建设有高性能网络管理与安全保障系统,CHAIRS系统是该项目的应急响应协同系统, 为各节点的安全管理人员提供应急响应管理功能,提高了CERNET安全事件响应的效率。 n研究背景 随着大量安全事件的检出,在应急响应过程中原有的安全保障系统暴露出缺乏响应的入侵跟踪与取证分析的缺陷。n研究内容l在对原有的安全保障系统进行功能上的增强的基础上,设计并实现了入侵检测与取证分析自动化响应模型,以提高安全事件应急响应的效率。自动化
2、响应模型介绍n自动化响应流程自动化响应模型的设计与实现n系统结构图自动化响应模型设计重点在于MONSTER系统中入侵检测和取证分析功能的实现。自动化响应模型的设计与实现n报文采集 当接收到HYDRA系统发送过来的采集任务配置任务(含有案件编号,采集时间范围信息)后,报文采集模块自动配置PF_RING ZC零拷贝工具,将HYDRA转发过来的特定对象报文收集并保存为pcap文件,文件保存在以案件编号,采集时间范围作为唯一标识的文件中。自动化响应模型的设计与实现n入侵检测l 报文检测模块 1. Suricata检测得到警报日志文件eve.json 2. 调用脚本对eve.json进行处理,提取其中的
3、signature和四元组信息生成原始安全事件l 事件后处理模块 利用多特征关联冗余消除算法进行冗余消除,生成简单攻击事件,最后发送给CHAIRS系统。自动化响应模型的设计与实现n取证分析 1. 当接收到报文采集模块的通知信息后,Bro将自动进行离线检测产生日志文件。 2. 抽取日志文件中的数据(主要是bro报警内容字段信息)生成当前的网络行为特征,若发现异常的网络行为特征,则根据不同IP发生各种网络行为的频度进行统计,进而发现哪些机器正在发起攻击或者已经感染网络病毒。自动化响应模型的设计与实现n实验结果 实验时间:2016.05.30-2016.06.20 实验途径:僵尸网络主机的自动化响应
4、 自动化响应过程时间轴: 阶段说明阶段说明时间时间案件调查2016.05.30T10:00:00报文采集2016.05.30T10:00:002016.06.07T10:00:00入侵检测20.16.07T10:00:00 开始2016.06.07T10:00:06 完成报文检测2016.06.07T10:00:08完成冗余消除取证分析2016.06.07T10:00:002016.06.07T10:00:05结论表示2016.06.07T10:00:10完成自动化响应模型的设计与实现n报文采集结果报文采集结果n入侵检测结果入侵检测结果n取证分析结果取证分析结果 总结与展望n总结 本文在对原有的安全保障系统进行了功能上的增强的基础上,设计并实现了入侵检测与取证分析自动化响应模型,以提高安全事件应急响应的效率。在实验中,通过僵尸网络检测的实例对自动化应急响应模型中的报文采集和过滤,入侵检测和取证分析流程进行了详细分析和说明。实验结果验证了该响应模型对于提升安全事件应急响应效率的有效性。n改善目标1.进一步的减少人工的干预。2.综合多核处理器下并发程序设计的要点进行并发检测,进一步提升自动化响应的效率。The End&Thanks