没有合适的资源?快使用搜索试试~ 我知道了~
博士论文信息系统安全监控的用于信息系统安全监控的可视化作者:达米安·克雷米勒中央超级电布列塔尼卢瓦尔第601研究数学与信息与通信科学与技术专业:计算机科学论文于2019年2月15日在雷恩提交并答辩研究单位:IRISA论文编号:2019-02-TH答辩前报告员:Hervé DEBAR教授,南巴黎Giuseppe Santucci罗马智慧大学教授评审团组成:主席:Isabelle CHRISMENT教授,电信南希考官:Hervé DEBAR教授,电信南巴黎Benjamin MorinANSSI检测部门负责人GiuseppeSantucci罗马萨皮恩扎大学教授Dir.论文作者:Christophe BIDAN中央高等教育学院教授共同导演。论文:Frédéric MAJORCZEK技术专家,DGA-MI和CentraleSupélec NicolasPRIGENT技术专家,LSTIiiiii摘要安全运营中心(SOC)是信息系统安全的中心。两个独立的安全分析师团队在一个SOC中协同工作,以检测、分析和响应安全事件。1级分析师是第一个收到安全警报的分析师,并在需要时将其发送给2级分析师进行进一步调查。尽管随着时间的推移,技术和程序不断发展,但仍存在一些影响SOC效率的重大困难。这会导致无法及时对实际攻击做出反应。首先,本文将SOC的局限性分为两类:技术和工艺。一级分析师尤其受到这些限制的影响,导致高倦怠率和紧张的工作条件。可视化工具已被提出来完成SOC中完成的任务。我们发现这些工具很可能不符合安全分析师的需求,显示出对他们的工作和限制缺乏了解。我们使用可视化、探索和分组警报(VEGAS)(一种可视化和分类工具)来解决警报ID数量高、任务重复和缺乏创造力的问题。VEGAS基于数据汇总和可视化的组合。我们比较了降维方法,我们的建议使用主成分分析作为第一步,以产生可视化关联警报ID的二维散点图。我们的工具使第1层分析师能够探索类似警报的各种领域,快速分析它们,并生成有意义的规则来对警报的ID进行分组。我们对案例研究和专家的评估表明,VEGAS可用于快速检测类似的ID警报并对其进行有效分组。在解决了ID警报分类的问题之后,我们解决了除了威胁升级的限制和网络的节奏之外,缺乏反馈的剩余过程限制。我们提出了TheStrip,这是一个带有可视化工具的流程,旨在增强第1层和第2层分析师之间的协作。我们的流程在第1层和第2层分析师之间创建了一个反馈回路,并改进了定义安全元事件的规则。我们的安全元事件概念增加了时间和协作功能,以支持更好的组和攻击场景的创建。我们提供了一个可视化工具来支持这一新过程。该工具围绕时间线视图进行组织,提供上下文的快速感知和攻击场景的轻松重建ivv摘要我们的世界越来越依赖于互联的信息系统。2018年,互联网用户超过36.6亿,这一数字有望超过2021年为41.3亿[1]。必须确保这些信息系统的安全性,以应对越来越有组织和预算有限的攻击者。和日益重要的手段。预防性安全措施不足以提供这种安全性,攻击者最终会找到漏洞进入系统或破坏系统。如今,大多数信息系统L’activité平均而言,SOC每天收集数千甚至数百万个事件,其目标是找出哪些事件是真正入侵的症状。 SOC收到的绝大多数警报 这些都是误报,并不表明对信息系统的真正威胁。如此大量的警报,加上它们的不相关率,是一个问题,因为真正的攻击要么没有被检测到,要么被检测得很晚。此外,这给在SOC工作的分析师带来了压力。 这些分析师有非常有限的时间来决定警报的严重性和真实性。他们的职业本论文的目的是我们的主要贡献是:• 对SOC及其组织的审查,导致其局限性的表达。这些限制分为两个不同的类别:技术和流程。• VEGAS[2,3],一种可视化和分类工具,允许SOC中的一线分析师通过其主成分分析表示对警报进行分组• TheStrip[4],一个新的流程和工具,用于改善SOC内的vi除了这些贡献,本文还对基于情境意识的安全可视化解决方案进行了回顾。我们将安全分析师之间的协作添加到态势感知的概念中,以完全反映SOC中遇到的不同用例安全操作中心SOC是信息系统安全的核心要素。他们必须完成许多任务,其中最重要的是对安全事件进行实时分类和分析。SOC由两个分析师团队组成,即第1层分析师和第2层分析师。第1层分析师位于第一线,有几秒钟或几分钟的时间来确定警报的严重性。他们使用IDS警报作为数据源。如果存在可疑情况,则会将警报发送给第2层分析人员进行进一步分析,以制定应对威胁的措施。第2层分析师有更多的时间进行分析,并使用所有可用的数据源,如服务器、客户端和应用程序日志尽管SOC中的分析师的任务和工具不断发展,但他们在所使用的流程和技术方面存在一些缺点。这份局限性清单是本文的贡献之一技术类型的限制为:• 许多不一定相关的数据和数据源即使仅使用IDS警报作为主要数据源,第1层分析师也必须处理第2层分析师也存在此问题,因为他们需要处理的数据量很大。它的传播更为重要。此外,数据源多种多样,如防病毒软件、IDS警报、网络流量。由于这些数据源不一定相互关联,因此需要具备每种类型的专业知识。最后,这一特征使得相关性和• 威胁的进展。了解事件是孤立的还是更大攻击场景的一部分尤为重要。 安全分析人员需要了解当前的环境、威胁和事件,才能制定有效的响应• 网络的节奏。安全分析师熟悉他们所监控的网络的节奏对这些事件和系统中的经典错误数的理解还没有得到充分的我们还研究了SOC中的工作流程,并确定了以下限制:vii• 任务的重复性。第1层分析师按照预先制定的程序执行重复性任务。这也适用于第2层分析师,因为他们必须处理第1层分析师发送的相同类型这会浪费时间,降低对第1层分析师所做工作的评价• 缺乏回报。一旦做出决策,一级分析师就无法跟踪他们的行动。他们不会被告知第2层分析师的分析结果• 缺乏创造力。第1层分析师遵循的程序严重限制了他们的创造力,并且一级分析师尤其受到这些挑战的影响,导致工作条件困难。我们相信,安全可视化与SOC之间更好的协作相结合,是解决这些问题的答案安全性可视化SOC中的安全可视化有多种用途。在本文中,我们根据情境知识的概念,对安全可视化解决方案进行了回顾。情境知识被定义为感知、理解和预测三个阶段,以及五个用例:监督、检查、探索、预测和沟通。我们提出了第六个用例本安全可视化解决方案综述强调了不同的技术及其优缺点。第1层分析师专用的监控工具使用简单的可视化表示,使分析师能够了解然而,这些解决方案的可扩展性通常是有限的,并且这些解决方案并检查和探索工具提供了更多的交互,并能够利用更多的数据源。它们由第2层分析师使用,在我们看来,与我们概述的威胁进展和网络速度的限制相比,它们仍然不够。预测解决方案在科学文献中不太常见,通常在具有一定成熟度的SOC中以威胁的名义使用。情报。虽然分析师需要在SOC中进行协作和通信,但似乎缺乏执行这些任务的可视化解决方案。我们认为,viii通过可视化更好地组织工作流程,简化安全分析师之间的协作素食主义者为了帮助一级分析师进行分类,我们提供了一个名为VEGAS(可视化、探索和分组警报)的工具[2,3]。此工具允许您在二维空间中可视化IDS警报,以便您可以轻松地将它们分组。事实上,安全警报由多个维度(如源端口、目标端口或IP地址)组成,对于只有很短时间执行任务的分析人员来说,很难理解其直接的图形 这就是为什么一个算法允许已经选择了在二维表示之后映射警报的方法。 从信息保留的角度来看,该算法必须是有效的(类似的警报必须在二维空间上接近),必须在有限的时间内容易地扩展到数千个数据,并且必须是无监督的。这些先决条件指导了我们对主成分分析的选择因此,VEGAS提供了通过分析在二维空间中可视化警报的能力。 在主要组件中。此表示允许分析人员快速查找具有相似特征的警报集。然后使用这些警报的特征的可视化表示来诊断所识别的警报集。第1层分析师可以选择与该组相关的特征。生成一个规则,以便可以直接重定向过去和将来的类似警报,从而减少向在第一线工作的分析师提供的新的未诊断警报流。这种数据分析和可视化的结合VEGAS解决了一级分析师的高警报数量的技术限制。 此外,VEGAS也是关于重复性的答案。 这些分析师的任务和缺乏创造力。通过创建重定向类似警报的规则,第1层分析师此外,在快速分析警报之后创建规则有助于解决由于缺乏创造力而导致的任务单调性我们这些测试的结果是积极的。首先,它们证实了我们正在寻求解决的警报分类问题的相关性然后,专家们对我们的工具提供的可视化和交互进行了积极的评价最后,他们指出,VEGAS可以提高SOC中一级分析师的工作效率ix条纹与专家的访谈使我们能够强调SOC内部缺乏合作以及由此产生的局限性。为了解决这些问题,我们提出了TheStrip[4],这是一个新的分析师协作流程,也是一个实现该流程的相关工具我们的流程基于元事件的概念,在第1层分析师和第2层分析师之间引入了反馈循环。我们扩展了使用VEGAS定义的规则,将事件分组为元事件,允许对规则捕获的事件进行时间划分,并允许分析师之间进行更好的协作。一旦第1层分析师创建了规则,第2层分析师就可以添加与时间相关的功能,根据需要修改规则,并通知参与解决这些安全事件的不同人员。此过程允许将由规则标识的事件直接重定向到专门处理此类事件的分析师。此外,第2层分析师可以将元事件链接起来,以跟踪攻击场景。我们已经开发了一个工具来实施这个过程。此工具允许使用时间线形式的视图快速了解当前系统状态此视图中的交互使分析人员能够直观地关联元事件并轻松重建攻击场景。专用视图提供元事件和方案的规则的可视化和更改通过这种方式,TheStrip解决了一级分析师缺乏回报的问题他们会收到规则变更的通知,并了解变更的原因。该工具提供的功能结论在这篇论文中,我们试图改善安全监督。我们已经解释了SOC的局限性,并证明了当前的安全可视化解决方案无法完全解决这些局限性。我们已经提出了解决方案,以解决这一问题与VEGAS和TheStrip。VEGAS通过适当的表示和规则创建帮助一级分析师对警报进行分类TheStrip通过一个新的流程和一个可视化工具,加强了xxi确认书首先,我要感谢我的顾问Christophe Bidan、Frédéric Majorczyk和Nicolas Prigent在整个论文过程中的指导。我有很大的自由选择我的研究课题,我感谢你所有的时间和想法的贡献,使我的博士经验刺激。如果没有CIDre团队其他成员提供的支持,完成这项工作将是最困难的。 你们一直是无数非正式讨论、台球游戏和品脱啤酒的伙伴,也是友谊的来源,这是一个很好的建议。谢谢你让这次研究之旅成为一次愉快的经历。在这篇论文中,我遇到了一些技术上的困难,我特别感谢克里斯托弗·汉弗莱斯在这些时候的指导。你太有帮助了。我也很感谢DGA的成员,他们花时间来测试我的工作。 您的反馈和意见将有助于使本论文更符合安全专家的需要。我想向我的父母和家人表达我最深切的感谢,感谢他们多年来对我无尽的支持和不断的鼓励。在这篇论文中,我被你愿意阅读我无数页的作品所震撼。最后,我想感谢Lauriane的持续支持和鼓励,特别是在本博士的最后阶段。你很高兴地忍受了我长时间的工作,谢谢。xiixiii···内容。第1章引言11.1信息系统和安全监控21.2研究目标和贡献31.3论文结构4第二章安全运营中心52.1安全运营中心简史62.2任务72.3架构82.4事件管理区域11的组织模型2.5安全运营中心性162.5.1技术挑战162.5.2过程问题172.6结论19第3章安全运营中心213.1情境感知和安全可视化的目的223.1.1情境意识233.1.2其他分类243.2监测263.2.1散点图273.2.2链接图273.2.3树图303.2.4三维技术313.2.5相互作用313.2.6先验处理323.3检查323.4探索353.5预测353.6来文37xiv3.7合作373.8结论38xv···第四章用于快速分类的可视化414.1使用安全警报424.1.1作为数据源的警报ID424.1.2显示警报434.1.3计算PCA464.1.4工作流程474.2VEGAS接口474.2.1界面概述474.2.2分析警报504.2.3生成相关筛选规则524.2.4查看过滤规则534.3实施和评估534.3.1执行情况534.3.2评估564.3.3使用案例564.3.4专家评估594.4结论63第5章安全分析师5.1安全运营中心665.2过程685.2.1安全元事件及其规则685.2.2建议的工作流程715.3协作可视化735.3.1接口组件735.3.2时间线视图755.3.3规则视图795.3.4场景视图815.4执行情况815.5讨论835.6结论84第六章结论和观点856.1摘要856.2未来研究方向86附录89词汇表95参考书目97xvi图列表2.1约瑟夫·穆尼兹的SOCaccording概念技术架构艾尔。[33](改编)。.............................................................................................102.2根据ANSSI[9]版本2.0的安全事件检测服务的体系结构示意图。........................112.3SOC事故管理区的组织模型俱乐部。.................................................................................................................... 142.4根据MITRE的SOC组织模型。..................................................................................153.11812-1813年俄国战役中法国军队士兵连续损失的地图米纳德。..................... 233.2情境意识阶段与可视化使用、所执行的分析类型以及分析师使用这些类型可视化之间的关系。 修改版本基于[60],并添加了协作和分析师。........................................................................................................ 253.3SnortView的快照[67]283.4无限接口[71]293.5VisAlert[74]293.6BANKSAFE的树图可视化[77]..................................................................................303.7DAEDALUS中匿名者的DDoS攻击概述[79]3.8[82]33的可视化仪表板3.9[83]第83话.................................................................................................................343.10 用于可视化具有条件属性的查询的用户界面。.................................................... 343.11 使用[85]查看垃圾邮件活动。.................................................................................353.12 燃烧的主要视图[89].................................................................................................363.13 VIAssist报告[91].......................................................................................................3.14 海洋[93]合作图。.....................................................................................................394.1打鼾警报。............................................................................................................... 434.2VEGAS工作流程。.....................................................................................................484.3面向一级分析师的VEGAS接口(入门级)。.........................................................494.4在按比例过滤之前.................................................................................................... 514.5按比例过滤后。........................................................................................................ 51xvii4.6为过滤两个服务器发出或接收订单的警报而生成的规则使用IRC协议发送到或从僵尸网络发送.................................................................. 534.7随时间变化的筛选规则表示... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...544.8按规则2筛选的警报演变。. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...554.9规则列表。 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...554.10第一个4,000个警报后的性能 . ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...574.11按目标端口发送警报。 给定分布,它可能是扫描。 . . ...584.12每位参与者在我们小组的经验年限... ... ... ... ... ... ... ... ... ... ... ...594.13问题1:问题是否相关?. ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...... ... ... ... ... ...604.14问题2:建议的可视化是否与我们的问题相关?... ... ... ... ... ... ...614.15Q3:提议的交互是否与我们的问题相关?... . . . . . . ...624.16Q4:VEGAS是否可用? ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...624.17Q5:VEGAS是否会提高一级分析师的工作效率... ... ... ... ... ... ...635.1SOC的当前组织及其局限性。... ... ... ... ... ... ... ... ... ... ... ...675.2按安全元事件中的规则筛选的安全事件的划分。 . . ...695.3SOC的建议工作流程。 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...725.4安全事件的进展。 ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...745.5 时间线视图。. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 765.6一些操作后的时间线视图... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ... ...78xviii表列表2.1根据ANSSI区域12对SOC能力进行分类xix
下载后可阅读完整内容,剩余1页未读,立即下载
![.pdf](https://img-home.csdnimg.cn/images/20210720083646.png)
![docx](https://img-home.csdnimg.cn/images/20210720083331.png)
![-](https://csdnimg.cn/download_wenku/file_type_lunwen.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://csdnimg.cn/download_wenku/file_type_ask_c1.png)
![](https://profile-avatar.csdnimg.cn/default.jpg!1)
cpongm
- 粉丝: 4
- 资源: 2万+
上传资源 快速赚钱
我的内容管理 收起
我的资源 快来上传第一个资源
我的收益
登录查看自己的收益我的积分 登录查看自己的积分
我的C币 登录后查看C币余额
我的收藏
我的下载
下载帮助
![](https://csdnimg.cn/release/wenkucmsfe/public/img/voice.245cc511.png)
会员权益专享
最新资源
- VMP技术解析:Handle块优化与壳模板初始化
- C++ Primer 第四版更新:现代编程风格与标准库
- 计算机系统基础实验:缓冲区溢出攻击(Lab3)
- 中国结算网上业务平台:证券登记操作详解与常见问题
- FPGA驱动的五子棋博弈系统:加速与创新娱乐体验
- 多旋翼飞行器定点位置控制器设计实验
- 基于流量预测与潮汐效应的动态载频优化策略
- SQL练习:查询分析与高级操作
- 海底数据中心散热优化:从MATLAB到动态模拟
- 移动应用作业:MyDiaryBook - Google Material Design 日记APP
- Linux提权技术详解:从内核漏洞到Sudo配置错误
- 93分钟快速入门 LaTeX:从入门到实践
- 5G测试新挑战与罗德与施瓦茨解决方案
- EAS系统性能优化与故障诊断指南
- Java并发编程:JUC核心概念解析与应用
- 数据结构实验报告:基于不同存储结构的线性表和树实现
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035711.png)
![](https://img-home.csdnimg.cn/images/20220527035111.png)
安全验证
文档复制为VIP权益,开通VIP直接复制
![](https://csdnimg.cn/release/wenkucmsfe/public/img/green-success.6a4acb44.png)