跳到主要內容

臺灣博碩士論文加值系統

(44.220.255.141) 您好!臺灣時間:2024/11/03 05:32
字體大小: 字級放大   字級縮小   預設字形  
回查詢結果 :::

詳目顯示

: 
twitterline
研究生:吳孟徽
研究生(外文):Meng-Hui Wu
論文名稱:整合環境風險之入侵警報量化評估
論文名稱(外文):Intrusion Alert Ranking Based on Environmental Risk Analysis
指導教授:田筱榮田筱榮引用關係
指導教授(外文):Hsiao-Rong Tyan
學位類別:碩士
校院名稱:中原大學
系所名稱:資訊工程研究所
學門:工程學門
學類:電資工程學類
論文種類:學術論文
論文出版年:2005
畢業學年度:93
語文別:中文
論文頁數:76
中文關鍵詞:環境相依的警報風險分級威脅程度風險程度指數整合環境資訊量化評估入侵警報
外文關鍵詞:Environmental Risk AnalysisQuantitative IndexAlert Ranking MethodEnvironmental InformationIntrusion Alert
相關次數:
  • 被引用被引用:5
  • 點閱點閱:310
  • 評分評分:
  • 下載下載:32
  • 收藏至我的研究室書目清單書目收藏:0
入侵偵測系統所產生的入侵警報(Intrusion Alert)代表有何種入侵行為已發生或進行中。對於一個複雜環境的管理者而言,在大量入侵警報發生時,必須花費許多時間與精力,找尋高威脅且需優先處理的警報,也會因此失去處理警報的時效性。然而,欲辨別各種入侵行為對環境的威脅程度,我們需要參考相關的環境資訊,來分級警報所代表的攻擊對環境造成的風險,以幫助管理者做出合適的反應決策。
由於相異的網路環境有著不同的特徵,造成某一環境的高威脅警報發生於另一個環境上時,其威脅程度大不相同。為了能合理的分級環境中的警報,我們提出以整合環境資訊來分級警報的方法。經由審慎的分析、研究網路行入侵偵測系統產生的警報所能包含的資訊,我們發現數種分級時所需要考慮的必要因素,並運用風險分析方法OCATVESM,由其結果獲得對於環境中的財產、存在的威脅與其可能造成的傷害的性質描述。接著,我們以糢糊邏輯設計出一套分級方法,用以量化風險分析結果的性質描述為數值型態。因此,當入侵警報發生時,即可對警報做出量化的評估,計算其風險程度指數。此方法,我們於Snort中以附加模組的方式來實作,可以進行即時分級警報。
Intrusion alerts produced by intrusion detection systems signal the intrusions occurred or proceeding. When the amount of alerts is huge, a manager watching over a complicated environment may have to spend a lot of time and effort before alerts of high priority and emergency are finally identified. In order to provide timely response to security events, an automatic intrusion alert ranking utility which based on environmental information is important. It would help the manager to take applicable action in time.
Considering that different network sites have different characteristics, alerts of highly concerned in one environment may be irrelevant if it occurs in another environment. In order to rank alerts properly, we propose an alert ranking method based on environmental risk analysis. Through a detailed study of the information carried by alerts generated from an NIDS, we discovered several essential elements a ranking method should considered. By applying the OCTAVE risk analysis process we are able to obtain qualitative descriptions about the assets, threats, and possible damage an arbitrary environment may face. Then, we devise a scheme based on fuzzy logic to transform qualitative descriptions in to quantitative indices. Thus, when an alert is generated, it can be evaluated quantitatively. The method has been implemented as an add-on module to the snort system to perform on-line alert ranking.
目錄
摘要 i
Abstract iii
誌謝 v
目錄 vii
圖目錄 ix
表目錄 i
第一章、緒論 1
1.1 背景 1
1.2 動機 2
1.3 目的 2
1.4 論文架構 3
第二章、相關文獻 4
2.1 分級方法 4
2.1.1 以弱點特性分級 4
2.1.2 以攻擊目的分級 5
2.1.3 以弱點特性、資訊安全設備的建議與管理者對攻擊目的之關切程度分級 7
2.2 方法討論 9
第三章、使用環境因素之警報分級 11
3.1 分析警報分級之必要因素 11
3.2 以環境風險分析取得環境資訊 14
3.2.1 環境風險分析方法 OCTAVESM 15
3.2.2 整合之必要因素決定環境資訊來源 19
3.2.3 萃取資訊來源之環境資訊並加入警報性質 21
第四章、系統架構與實作 29
4.1 系統架構 29
4.2 系統實作 30
4.2.1 Extractor 30
4.2.2 Fuzzy專家系統 30
第五章、實驗結果與討論 34
5.1實驗環境 34
5.2實驗步驟 36
5.3 結果與討論 38
第六章、結論與未來方向 43
參考文獻 44
附錄 1
附錄A:與網路相關的OCTAVESM Method虛擬結果 1
A-1:電子商務網站之OCTAVESM Method虛擬結果 1
A-2:國民中學之OCTAVESM Method虛擬結果 9
附錄B:警報分級結果之實驗數據 17
B-1:電子商務網站之警報分級結果 17
B-2:國民中學之警報分級結果 19


圖目錄
圖2.1:M-Correlator Algorithm 8
圖2.2:M-Corralator Ranking Tree 9
圖3.1:OCTAVESM Criteria 16
圖3.2:OCTAVESM Method 16
圖3.1:範例警報與Snort Rule 25
圖3.2:範例OCTAVE Risk Profile之System Problems 25
圖3.3:【步驟0】Mapping Table之設定 26
圖3.4:【步驟2】萃取同範圍威脅 27
圖3.5:【步驟3】萃取同類型攻擊 27
圖3.6:【步驟4】計算Impact值 28
圖4.1:警報風險分級系統架構圖 29
圖4.2:Importance、Impact與Priority的Fuzzy Sets 31
圖4.3:Fuzzification取得μ值 31
圖4.4:Rule Evaluation獲得各Rule的μ值 32
圖4.5:Aggregation結果 32
圖4.6:Defuzzification取得明確的數值 33
圖5.1:MIT Lincoln Lab. Simulation Network 99 35
圖5.2:模擬組織之內部網路架構 35

表目錄
表2.1:ICAT弱點評級準則 4
表2.2:Nessus弱點風險指標分級方法 5
表2.3:Snort類別優先序 6
表2.4:BlackICE警報分級簡述 7
表2.5:分級方法的比較 10
表3.1:Snort性質之分類整理 13
表3.2:必要Snort Attributes分類類別 14
表3.3:The Procedure and Results of OCTAVE Method 18
表3.4:Snort Attributes與OCTAVE results對應 20
表3.5:決定之分級因素的資訊來源 21
表3.6:Snort對攻擊之分類 22
表3.7:OCTAVE威脅來源種類 23
表3.8:OCTAVE表示威脅之規格屬性 23
表3.9:Snort與OCTAVE攻擊與威脅對應表 24
表5.1:模擬內部主機與主機資訊 35
表5.2:模擬組織A之主機設定的Importance value 37
表5.3:模擬組織B之主機設定的Importance value 37
表5.4:封包流向與攻擊者、受害者情況 38
表5.5:組織A警報單一化的分級結果 40
表5.6:組織B警報單一化的分級結果 40
表5.7:相同警報在不同組織之分級結果 41
[1]ICAT Matabase, At http://icat.nist.gov/
[2]Nessus, At http://www.nessus.org/
[3]Snort, At http://www.snort.org/
[4]BlackICE, At http://www.iss.net/
[5]P. A. Porras, M.W. Fong, and A. Valdes. "A mission-impact based approach to INFOSEC alarm correlation", Recent Advances in Intrusion Detection (RAID 2002), Zurich, Switzerland, Oct. 2002
[6]National Institute of Standards and Technology Special Publication 800-30, "Risk Management Guide for Information Technology Systems" (NIST SP 800-30), 2001
[7]CORAS, At http://www2.nr.no/coras/
[8]OCTAVESM (Operationally Critical Threat, Asset, and Vulnerability EvaluationSM), http://www.cert.org/octave/
[9]US Department of Commerce/National Bureau of Standards, "Guidelines For Automatic Data Processing Physical Security and Risk Management", 1974.
[10]US Department of Commerce/National Institute of Standards and Technology, "'Guideline for the Analysis of Local Area Network Security", 1994.
[11]US General Accounting Office, "Information Security Risk Assessment: Practices of Leading Organizations", 1999.
[12]E.H. Mamdani and N. Baaklini, "Prescriptive method for deriving control policy in a fuzzy-logic controller", Electronics Letters, Vol. 11, pp. 625, 626. Dec. 1975
[13]T.P. Hong and J.B. Chen, "Finding relevant attributes and membership functions", Fuzz Sets and Systems, volume 103 p.389-404, 1999
[14]R. Ramakrishnan and C.J.M. Rao, "The fuzzy weighted additive rule", Fuzz Sets and Systems, volume 46 p.177-187, 1992
QRCODE
 
 
 
 
 
                                                                                                                                                                                                                                                                                                                                                                                                               
第一頁 上一頁 下一頁 最後一頁 top