论文部分内容阅读
随着互联网普及和信息技术的快速发展,网络攻击类型也变得复杂多样,安全形势日益严峻。因此为了保障网络安全,事件应急响应成为网络安全体系结构中不可或缺的重要环节,如何建立有效的计算机网络安全应急响应机制,成为研究的热点和重点。本文在现有的分布式应急响应管理系统CHAIRS(Cooperative Hybrid Aided Incidence Response System)的基础上,研究威胁信息的交换标准,对CHAIRS进行基于结构化威胁信息表达(STIX)的设计和应用,使得CHAIRS的案件信息、响应步骤和页面展示部分符合标准格式的表达,并实现在该标准表达下CHAIRS案件响应过程的自动化。同时支持STIX数据对象的标准格式输出,实现信息的交换和共享,提高响应的效率和准确性,保障网络安全。为使得CHAIRS案件信息标准化,论文研究了目前国内外成熟且应用广泛的威胁信息标准,对比分析各个标准的利弊和适用场景,并综合考虑CHAIRS的实际需求,最终选择基于STIX对CHAIRS案件信息组织结构进行设计。本文详细分析STIX数据对象在CHAIRS的存在形式和各个属性之间的映射关系,确保CHAIRS满足威胁信息的表达标准。在实现基于STIX的CHAIRS案件信息结构改进的基础上,本文实现了响应步骤的标准化和响应流程的自动化。通过分析和对比STIX中Course Of Action数据对象与CHAIRS响应步骤的异同,来标准化响应步骤的信息表达。然后研究应用STIX标准后的自动化响应流程。本文的自动化设计是在CHAIRS静态模板的基础上,对静态模板中的多个响应步骤解耦,并把输入、接口地址和配置等信息参数化,使得各个功能模块相对独立。这种低耦合的可配置模板,能够大大提高模板的灵活性和兼容性,提高案件响应的自动化程度。另外,为基于STIX的案件自动响应提供数据源的支持,本文设计并实现了汇聚各个检测系统结果的安全事件库。为了兼容多源异构的数据格式,并满足CHAIRS的使用性能需求,本文对比分析关系型和非关系型数据库(NoSQL),最终选择No SQL中的MongoDB来实现。同时为了保证可靠数据传输,采用基于TCP的Socket通信方式。最后本文以C&C控制器的自动追踪为例,验证应用STIX标准之后,案件自动响应的实现效果。论文最后对将来的应急响应进行了展望,指出关联性分析和取证报文结果分析的深入研究,将对提高应急响应效率产生重大的意义。