网络安全事件定义大全11篇
时间:2023-07-17 16:29:14绪论:写作既是个人情感的抒发,也是对学术真理的探索,欢迎阅读由发表云整理的11篇网络安全事件定义范文,希望它们能为您的写作提供参考和启发。
篇(1)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
篇(2)
对于文中平台主要功能的实现,则主要通过业务逻辑层来完成,概括起来主要包含四个方面的功能。
1设备管理
对于设备管理模块来说,可以作为其他功能模块的基础,是其他模块有机结合的基础模块,主要包括几个子功能:(1)设备信息管理;(2)设备状态监控;(3)设备拓扑管理等。这些子功能的实现,可以在网络拓扑和手动的基础上,通过统一通信接口来对设备的状态和性能进行实施的监控和管理,必要的情况下,还可以通过图形化的方式来表示,方便平台和系统管理员对设备运行状态的及时掌握和定位,减轻管理员的工作量。
2事件分析
作为安全设备管理平台的核心模块,安全事件分析模块的目的就是对大量的网络事件进行分析和处理、筛选,减轻管理员的工作压力,所以,该功能模块的主要子功能有安全时间分类统计、关联分析和处理等。同样,该功能模块也能够通过统一通信接口来对各个安全设备所生成的时间报告进行收集、统计,在统计分析的过程中,可以根据不同的标准进行分类,如时间、事件源、事件目的和事件类型等,通过科学统计和分析,还可以利用图表的方式进行结果显示,从而实现对安全事件内容关系及其危害程度进行准确分析的目的,并从海量的安全事件中挑选出危险程度最高的事件供管理员参考。
3策略管理
安全设备管理平台中的策略管理模块包含多个功能,即策略信息管理、冲突检测和策略决策等功能。通过对各类安全设备的策略进行标准化定义的基础上,就可以统一对设备的策略定义进行管理和修改,对当前所采用的策略进行网络安全事件冲突检测,及时发现可能存在的网络设置冲突和异常,确保网络策略配置的正确性和合理性。通过对网络环境中安全事件的深入分析,在跟当前所采用安全策略相比较的基础上,就能够为设备的安全设置提供合理化建议,从而实现对网络安全设备设置的决策辅助和支持。
4级别评估
最后一个功能模块就是安全级别评估模块,该模块的主要任务就是对网络商业设备安全制度的收集汇总、实施情况的总结和级别的评估等。该模块通过对网络安全事件的深入分析,在结合安全策略设置的基础上,实现对网络安全水平的准确评估,从而为网络安全管理的实施和水平的提高提供有价值的数据参考。
平台中的通信方法
要实现网络中异构安全设备的统一管理,就需要通过统一的通信接口来实现,该接口的主要功能就是通过对网络中异构设备运行状态、安全事件等信息的定时获取,从技术的角度解决异构设备所造成的安全信息格式不兼容和通信接口多样的问题,实现网络安全信息的标准化和格式的标准化。
1资源信息标准化
在网络安全管理中,所涉及到的安全资源信息主要包括安全设备的运行状态、设备配置策略信息和安全事件信息等。其中,安全设备的运行状态信息主要通过数据交换层中的通信程序通过跟安全设备的定时通信来得到,可以通过图表的方式进行可视化。这些资源信息主要采用RRD文件的方式进行存储,但是采用数据库存储的则比较少,这主要是由于:(1)RRD文件适合某个时间点具有特定值且具有循环特性的数据存储;(2)如果对多台安全设备的运行状态进行监控的情况下,就应该建立跟数据库的多个连接,给后台数据库的通信造成影响。对于上面提到的安全设备的运行状态信息和安全事件信息,通过对各种安全设备信息表述格式的充分考虑,本文中所设计平台决定采用XML语言来对设备和平台之间的差异性进行描述,不仅实现了相应的功能,还能够为平台提供调用转换。而对于安全策略类的信息,则是先通过管理员以手动的方式将安全策略添加到平台,然后再在平台中进行修改,之后就可以在通过平台的检测冲突,由平台自动生成设备需要的策略信息,然后再通过管理员对策略进行手动的修改。
2格式标准化
对于安全事件和策略的格式标准化问题,可以通过格式的差异描述文件来实现彼此之间的转换,这里提到的差异描述文件则采用XML格式来表述,而格式的自动转换则通过JavaBean的内置缺省功能来实现。
3通信处理机制
篇(3)
目前医院网络安全技术基本上还是单兵作战,由杀毒软件和防火墙等独立安全产品对攻击进行防御。这些防范措施漏洞百出,被动挨打,无法实现真正的全局网络安全。而医院网络安全事关重大,院内管理、处方监控、患者服务等等信息,关乎生命健康,因此确保医院网络安全,具有重大的社会意义。
多兵种协同作战
确保医院全局网络安全
在我国网络安全领域居于领先地位的GSN全局安全解决方案,集自动、主动、联动特征于一身,使拥有“纵深防御”特性的新型网络安全模式成为可能。目前已经开始应用于医疗卫生单位,并在2006年底,以厦门集美大学网络为平台,建成了全国唯一一个万人规模下全局网络安全应用工程,获得2007年第八届信息安全大会最佳安全实践奖。
GSN(Global Security Network全局安全网络),由安全交换机、安全管理平台、安全计费管理系统、网络入侵检测系统、安全修复系统等多重网络元素联合组成,能实现同一网络环境下的全局联动。GSN将用户入网强制安全、主机信息收集和健康性检查、安全事件下的设备联动,集成到一个网络安全解决方案中,用“多兵种”协同作战的方式,实现网络全方位安全,同时实现对网络安全威胁的自动防御,网络受损系统的自动修复。GSN拥有针对网络环境变化和新网络行为的自动学习能力,防范未知安全事件,从被动防御变成了主动出击。
GSN在医院网络中作用机制
“联动”是GSN精髓所在。GSN的入侵检测系统分布在网络的各个角落,进行安全事件检测,最终上报给安全管理平台。当网络被病毒攻击时,安全管理平台自动将安全策略下发到安全事件发生的网络区域,并自动同步到整个网络中,从而达到网络自动防御。
安全管理平台对安全事件的处理主要包括下发警告消息,下发修复程序,下发阻断或者隔离策略。根据不同等级的安全事件,管理员能够制定不同的处理方式。如针对安全等级较低,危害较小的攻击(如扫描),管理员只下发警告消息。如果某些攻击是由于未打某补丁,则可以下发修复程序,由用户进行修复。如果某安全事件危害很大(如蠕虫病毒),则可以下发阻断或者隔离策略,对用户进行隔离,或者阻断其攻击报文的发送,避免该蠕虫病毒在整个局域网中传播。
篇(4)
1网络安全管理要素
目前,随着互联网的普及与发展,人们对网络的应用越来越广泛,对网络安全的意识也不断增强,尤其是对于企业而言,网络安全管理一直以来都存在诸多问题。网络安全管理涉及到的要素非常多,例如安全策略、安全配置、安全事件以及安全事故等等,这些要素对于网络安全管理而言有着重大影响,针对这些网络安全管理要素的分析与研究具有十分重要的意义。
1.1安全策略
网络安全的核心在于安全策略。在网络系统安全建立的过程中,安全策略具有重要的指导性作用。通过安全策略,可以网络系统的建立的安全性、资源保护以及资源保护方式予以明确。作为重要的规则,安全策略对于网络系统安全而言有着重要的控制作用。换言之,就是指以安全需求、安全威胁来源以及组织机构状况为出发点,对安全对象、状态以及应对方法进行明确定义。在网络系统安全检查过程中,安全策略具有重要且唯一的参考意义。网络系统的安全性、安全状况以及安全方法,都只有参考安全策略。作为重要的标准规范,相关工作人员必须对安全策略有一个深入的认识与理解。工作人员必须采用正确的方法,利用有关途径,对安全策略及其制定进行了解,并在安全策略系统下接受培训。同时,安全策略的一致性管理与生命周期管理的重要性不言而喻,必须确保不同的安全策略的和谐、一致,使矛盾得以有效避免,否则将会导致其失去实际意义,难以充分发挥作用。安全策略具有多样性,并非一成不变,在科学技术不断发展的背景下,为了保证安全策略的时效性,需要对此进行不断调整与更新。只有在先进技术手段与管理方法的支持下,安全策略才能够充分发挥作用。
1.2安全配置
从微观上来讲,实现安全策略的重要前提就是合理的安全配置。安全配置指的是安全设备相关配置的构建,例如安全设备、系统安全规则等等。安全配置涉及到的内容比较广泛,例如防火墙系统。VPN系统、入侵检测系统等等,这些系统的安全配置及其优化对于安全策略的有效实施具有十分重要的意义。安全配置水平在很大程度上决定了安全系统的作用是否能够发挥。合理、科学的安全配置能够使安全系统及设备的作用得到充分体现,能够很好的符合安全策略的需求。如果安全配置不当,那么就会导致安全系统设备缺乏实际意义,难以发挥作用,情况严重时还会产生消极影响。例如降低网络的流畅性以及网络运行效率等等。安全配置的管理与控制至关重要,任何人对其随意更改都会产生严重的影响。并且备案工作对于安全配置也非常重要,应做好定期更新工作,并进行及时检查,确保其能够将安全策略的需求能够反映出来,为相关工作人员工作的开展提供可靠的依据。
1.3安全事件
所谓的安全事件,指的是对计算机系统或网络安全造成不良影响的行为。在计算机与域网络中,这些行为都能够被观察与发现。其中破坏系统、网络中IP包的泛滥以及在未经授权的情况下对另一个用户的账户或系统特殊权限的篡改导致数据被破坏等都属于恶意行为。一方面,计算机系统与网络安全指的是计算机系统与网络数据、信息的保密性与完整性以及应用、服务于网络等的可用性。另一方面,在网络发展过程中,网络安全事件越来越频繁,违反既定安全策略的不在预料之内的对系统与网络使用、访问等行为都在安全事件的范畴之内。安全事件是指与安全策略要求相违背的行为。安全事件涉及到的内容比较广泛,包括安全系统与设备、网络设备、操作系统、数据库系统以及应用系统的日志与之间等等。安全事件将网络、操作以及应用系统的安全情况与发展直接的反映了出来,对于网络系统而言,其安全状况可以通过安全事件得到充分体现。在安全管理中,安全事件的重要性不言而喻,安全事件的特点在于数量多、分布散、技术复杂等。因此,在安全事件管理中往往存在诸多难题。在工作实践中,不同的管理人员负责不同的系统管理。由于日志与安全事件数量庞大,系统安全管理人员往往难以全面观察与分析,安全系统与设备的安全缺乏实际意义,其作用也没有得到充分发挥。安全事件造成的影响有可能比较小,然而网络安全状况与发展趋势在很大程度上受到这一要素的影响。必须采用相应的方法对安全事件进行收集,通过数据挖掘、信息融合等方法,对其进行冗余处理与综合分析,以此来确定对网络、操作系统、应用系统产生影响的安全事件,即安全事故。
1.4安全事故
安全事故如果产生了一定的影响并造成了损失,就被称为安全事故。如果有安全事故发生那么网络安全管理人员就必须针对此采取一定的应对措施,使事故造成的影响以及损失得到有效控制。安全事故的处理应具有准确性、及时性,相关工作人员应针对事故发生各方面要素进行分析,发现事故产生的原因,以此来实现对安全事故的有效处理。在安全事故的处理中,应对信息资源库加以利用,对事故现场系统或设备情况进行了解,如此才能够针对实际情况采取有效的技术手段,使安全事故产生的影响得到有效控制。
1.5用户身份管理
在统一网络安全管理体系中,用户管理身份系统占据着重要地位。最终用户是用户身份管理的主要对象,通过这部分系统,最终用户可以获取集中的身份鉴别中心功能。在登录网络或者对网络资源进行使用的过程中,身份管理系统会鉴别用户身份,以此保障用户的安全。
2企业网络安全方案研究
本文以某卷烟厂网络安全方案为例,针对网络安全技术在OSS中的应用进行分析。该企业属于生产型企业,其网络安全部署图具体如图1所示。该企业网络安全管理中,采用针对性的安全部署策略,采用安全信息收集与信息综合的方法实施网络安全管理。在网络设备方面,作为网络设备安全的基本防护方法:①对设备进行合理配置,为设备所需的必要服务进行开放,仅运行指定人员的访问;②该企业对设备厂商的漏洞予以高度关注,对网络设备补丁进行及时安装;③全部网络设备的密码会定期更换,并且密码具有一定的复杂程度,其破解存在一定难度;④该企业对设备维护有着高度重视,采取合理方法,为网络设备运营的稳定性提供了强有力的保障。在企业数据方面,对于企业而言,网络安全的实施主要是为了病毒威胁的预防,以及数据安全的保护。作为企业核心内容之一,尤其是对于高科技企业而言,数据的重要性不言而喻。为此,企业内部对数据安全的保护有着高度重视。站在企业的角度,该企业安排特定的专业技术人员对数据进行观察,为数据的有效利用提供强有力的保障。同时,针对于业务无关的人员,该企业禁止其对数据进行查看,具体采用的方法如下:①采用加密方法处理总公司与子公司之间传输的数据。现阶段,很多大中型企业在各地区都设有分支机构,该卷烟厂也不例外,企业核心信息在公司之间传输,为了预防非法人员查看,其发送必须采取加密处理。并且,采用Internet进行邮件发送的方式被严令禁止;②为了确保公司内部人员对数据进行私自复制并带出公司的情况得到控制,该企业构建了客户端软件系统。该系统不具备U盘、移动硬盘灯功能,无线、蓝牙等设备也无法使用,如此一来,内部用户将数据私自带出的情况就能够得到有效避免。此外,该企业针对办公软件加密系统进行构建,对办公文档加以制定,非制定权限人员不得查看。在内部网络安全上,为了使外部网络入侵得到有效控制,企业采取了防火墙安装的方法,然而在网络内部入侵上,该方法显然无法应对。因此,该企业针对其性质进行细致分析,采取了内部网络安全的应对方法。企业内部网络可以分为两种,即办公网络与生产网络。前者可以对Internet进行访问,存在较大安全隐患,而后者则只需将内部服务器进行连接,无需对Internet进行访问。二者针对防火墙系统隔离进行搭建,使生产网络得到最大限度的保护,为公司核心业务的运行提供保障。为了使网络故障影响得到有效控制,应对网络区域进行划分,可以对VLAN加以利用,隔离不同的网络区域,并在其中进行安全策略的设置,使区域间影响得到分隔,确保任何一个VLAN的故障不会对其他VLAN造成影响。在客户端安全管理方面,该企业具有较多客户端,大部分都属于windows操作系统,其逐一管理难度打,因此企业内部采用Windows组侧策略对客户端进行管理。在生产使用的客户端上,作业人员的操作相对简单,只需要利用严格的限制手段,就可以实现对客户端的安全管理。
参考文献
[1]崔小龙.论网络安全中计算机信息管理技术的应用[J].计算机光盘软件与应用,2014(20):181~182.
[2]何晓冬.浅谈计算机信息管理技术在网络安全中的应用[J].长春教育学院学报,2015(11):61~62.
篇(5)
网络安全态势评估与态势评测技术的研究在国外发展较早,最早的态势感知的定义是在1988年由Endley提出的。它最初是指在特定的时间、空间范围内,对周边的环境进行感知,从而对事物的发展方向进行评测。我国对于网络安全事件关联细分与态势评测技术起步较晚,但是国内的高校和科研机构都积极参与,并取得了不错的成果。哈尔滨工业大学的教授建立了基于异质多传感器融合的网络安全态势感知模型,并采用灰色理论,对各个关键性能指标的变化进行关联分析,从而对网络系统态势变化进行综合评估。中国科技大学等人提出基于日志审计与性能修正算法的网络安全态势评估模型,国防科技大学也提出大规模网络安全态势评估模型。这些都预示着,我国的网络安全事件关联分析与态势评测技术研究有了一个新的进步,无论是大规模网络还是态势感知,都可以做到快速反应,提高网络防御能力与应急响应处理能力,有着极高的实用价值[1]。
2网络安全事件关联分析技术概述
近年来,网络安全一直遭受到黑客攻击、病毒、漏洞等威胁,严重影响着网络的运行安全。社会各界也对其极为重视,并采用相应技术来保障网络系统的安全运行。比如Firewall,IDS,漏洞扫描,安全审计等。这些设备功能单一,是独立的个体,不能协同工作。这样直接导致安全事件中的事件冗余,系统反应慢,重复报警等情况越来越严重。加上网络规模的逐渐增加,数据报警信息又多,管理员很难一一进行处理,这样就导致报警的真实有效性受到影响,信息中隐藏的攻击意图更难发现。在实际操作中,安全事件是存在关联关系,不是孤立产生的。网络安全事件关联分析就是通过对各个事件之间进行有效的关联,从而将原来的网络安全事件数据进行处理,通过过滤、发掘等数据事件之间的关联关系,才能为网络管理人员提供更为可靠、有价值的数据信息。近年来,社会各界对于网络安全事件的关联分析更为重视,已经成为网络安全研究中必要的一部分,并取得了相应的成果。在一定程度上,缩减网络安全事件的数量,为网络安全态势评估提供有效的数据支持。2.1网络安全数据的预处理。由于网络复杂多样,在进行安全数据的采集中,采集到的数据形式也是多种多样,格式复杂,并且存在大量的冗余信息。使用这样的数据进行网络安全态势的分析,自然不会取得很有价值的结果。为了提高数据分析的准确性,就必须提高数据质量,因此就要求对采集到的原始数据进行预处理。常用的数据预处理方式分为3种:(1)数据清洗。将残缺的数据进行填充,对噪声数据进行降噪处理,当数据不一致的时候,要进行纠错。(2)数据集成。网络结构复杂,安全信息的来源也复杂,这就需要对采集到的数据进行集成处理,使它们的结构保持一致,并且将其存储在相同的数据系统中。(3)将数据进行规范变化。2.2网络安全态势指标提取。构建合理的安全态势指标体系是对网络安全态势进行合理评估和预测的必要条件。采用不同的算法和模型,对权值评估可以产生不同的评估结果。网络的复杂性,使得数据采集复杂多变,而且存在大量冗余和噪音,如果不对其进行处理,就会导致在关联分析时,耗时耗力,而且得不出理想的结果。这就需要一个合理的指标体系对网络状态进行分析处理,发现真正的攻击,提高评估和预测的准确性。想要提高对网络安全状态的评估和预测,就需要对数据信息进行充分了解,剔除冗余,找出所需要的信息,提高态势分析效率,减轻系统负担。在进行网络安全要素指标的提取时要统筹考虑,数据指标要全面而非单一,指标的提取要遵循4个原则:危险性、可靠性、脆弱性和可用性[2]。2.3网络安全事件关联分析。网络数据具有不确定性、不完整性、变异性和模糊性的特点,就导致事件的冗余,不利于事件关联分析,而且数据量极大,事件繁多,网络管理人员对其处理也极为不便。为了对其进行更好的分析和处理,就需要对其进行数据预处理。在进行数据预处理时要统筹考虑,分析网络安全事件的关联性,并对其类似的进行合并,减少重复报警概率,从而提高网络安全状态评估的有效性。常见的关联办法有因果关联、属性关联等。
3网络安全态势评测技术概述
网络安全态势是一个全局的概念,是指在网络运行中,对引起网络安全态势发生变化的网络状态信息进行采集,并对其进行分析、理解、处理以及评测的一个发展趋势。网络安全态势是网络运行状态的一个折射,根据网络的历史状态等可以预测网络的未来状态。网络态势分析的数据有网络设备、日志文件、监控软件等。通过这些信息对其关联分析,可以及时了解网络的运行状态。网络安全态势技术分析首先要对网络环境进行检测,然而影响网络安全的环境很是复杂,时间、空间都存在,因此对信息进行采集之后,要对其进行分类、合并。然后对处理后的信息进行关联分析和态势评测,从而对未来的网络安全态势进行预测。3.1网络安全态势分析。网络安全态势技术研究分为态势获取、理解、评估、预测。态势的获取是指收集网络环境中的信息,这些数据信息是态势预测的前提。并且将采集到的数据进行分析,理解他们之间的相关性,并依据确定的指标体系,进行定量分析,寻找其中的问题,提出相应的解决办法。态势预测就是根据获取的信息进行整理、分析、理解,从而来预测事物的未来发展趋势,这也是网络态势评测技术的最终目的。只有充分了解网络安全事件关联与未来的发展趋势,才能对复杂的网络环境存在的安全问题进行预防,最大程度保证网络的安全运行。3.2网络安全态势评测模型。网络安全态势评测离不开网络安全态势评测模型,不同的需求会有不同的结果。网络安全态势评测技术具备较强的主观性,而且复杂多样。对于网络管理员来说,他们注意的是网络的运行状态,因此在评测的时候,主要针对网络入侵和漏洞识别。对于银行系统来说,数据是最重要的,对于军事部门,保密是第一位的。因此网络安全状态不能采用单一的模型,要根据用户的需求来选取合适的需求。现在也有多种态势评测模型,比如应用在入侵检测的Bass。3.3网络安全态势评估与预测。网络安全态势评估主要是对网络的安全状态进行综合评估,使网络管理者可以根据评估数据有目标地进行预防和保护操作,最常用的态势评估方法是神经网络、模糊推理等。网络安全态势预测的主要问题是主动防护,对危害信息进行阻拦,预测将来可能受到的网络危害,并提出相应对策。目前常用的预测技术有很多,比如时间序列和Kalman算法等,大概有40余种。他们根据自身的拓扑结构,又可以分为两类:没有反馈的前馈网络和变换状态进行信息处理的反馈网络。其中BP网络就属于前者,而Elman神经网络属于后者[3]。
4网络安全事件特征提取和关联分析研究
在构建网络安全态势指标体系时,要遵循全面、客观和易操作的原则。在对网络安全事件特征提取时,要找出最能反映安全态势的指标,对网络安全态势进行分析预测。网络安全事件可以从网络威胁性信息中选取,通过端口扫描、监听等方式进行数据采集。并利用现有的软件进行扫描,采集网络流量信息,找出流量的异常变化,从而发现网络潜在的威胁。其次就是利用简单网络管理协议(SimpleNetworkManagementProtocol,SNMP)来进行网络和主机状态信息的采集,查看带宽和CPU的利用率,从而找出问题所在。除了这些,还有服务状态信息、链路状态信息和资源配置信息等[4]。
5结语
近年来,随着科技的快速发展,互联网技术得到了一个质的飞跃。互联网渗透到人们的生活中,成为人们工作、生活不可或缺的一部分,而且随着个人计算机的普及应用,使得网络的规模也逐渐增大,互联网进入了大数据时代。数据信息的重要性与日俱增,同时网络安全问题越来越严重。黑客攻击、病毒感染等一些恶意入侵破坏网络的正常运行,威胁信息的安全,从而影响着社会的和谐稳定。因此,网络管理人员对当前技术进行深入的研究,及时掌控技术的局面,并对未来的发展作出正确的预测是非常有必要的。
作者:李胜军 单位:吉林省经济管理干部学院
[参考文献]
[1]赵国生,王慧强,王健.基于灰色关联分析的网络可生存性态势评估研究[J].小型微型计算机系统,2006(10):1861-1864.
篇(6)
网络安全态势感知在安全告警事件的基础上提供统一的网络安全高层视图,使安全管理员能够快速准确地把握网络当前的安全状态,并以此为依据采取相应的措施。实现网络安全态势感知,需要在广域网环境中部署大量的、多种类型的安全传感器,来监测目标网络系统的安全状态。通过采集这些传感器提供的信息,并加以分析、处理,明确所受攻击的特征,包括攻击的来源、规模、速度、危害性等,准确地描述网络的安全状态,并通过可视化手段显示给安全管理员,从而支持对安全态势的全局理解和及时做出正确的响应。
1.网络安全态势建模
安全态势建模的主要目的是构建适应于度量网络安全态势的数据模型,以支持安全传感器的告警事件精简、过滤和融合的通用处理过程。用于安全态势建模的数据源主要是分布式异构传感器采集的各种安全告警事件。网络安全态势建模过程是由多个阶段组成的。在初始的预处理阶段,通过告警事件的规格化,将收到的所有安全事件转化为能够被数据处理模块理解的标准格式。这些告警事件可能来自不同的传感器,并且告警事件的格式各异,例如IDS的事件、防火墙日志、主机系统日志等。规格化的作用是将传感器事件的相关属性转换为一个统一的格式。我们针对不同的传感器提供不同的预处理组件,将特定传感器的信息转换为预定义的态势信息模型属性值。根据该模型,针对每个原始告警事件进行预处理,将其转换为标准的格式,各个属性域被赋予适当的值。在态势数据处理阶段,将规格化的传感器告警事件作为输入,并进行告警事件的精简、过滤和融合处理。其中,事件精简的目标是合并传感器检测到的相同攻击的一系列冗余事件。典型的例子就是在端口扫描中,IDS可能对各端口的每个扫描包产生检测事件,通过维护一定时间窗口内的事件流,对同一来源、同一目标主机的同类事件进行合并,以大大减少事件数量。事件过滤的目标是删除不满足约束要求的事件,这些约束要求是根据安全态势感知的需要以属性或者规则的形式存储在知识库中。例如,将关键属性空缺或不满足要求范围的事件除去,因为这些事件不具备态势分析的意义。另外,通过对事件进行简单的确认,可以区分成功攻击和无效攻击企图。在事件的过滤处理时,无效攻击企图并不被简单地丢弃,而是标记为无关事件,因为即使是无效攻击也代表着恶意企图,对最终的全局安全状态会产生某种影响。通过精简和过滤,重复的安全事件被合并,事件数量大大减少而抽象程度增加,同时其中蕴含的态势信息得到了保留。事件融合功能是基于D-S证据理论提供的,其通过将来自不同传感器的、经过预处理、精简和过滤的事件引入不同等级的置信度,融合多个属性对网络告警事件进行量化评判,从而有效降低安全告警事件的误报率和漏报率,并且可以为网络安全态势的分析、推理和生成提供支持。
2.网络安全态势生成
2.1知识发现的关联规则提取
用于知识发现的数据来源主要有两个:模拟攻击产生的安全告警事件集和历史安全告警事件集。知识发现就是在这样的告警事件集上发现和抽取出态势关联所需要的知识。由于安全报警事件的复杂性,这个过程难以完全依赖于人工来完成。可以通过知识发现的方法,针对安全告警事件集进行模式挖掘、模式分析和学习,以实现安全态势关联规则的提取。
2.2安全告警事件精简和过滤
通过实验观察发现,安全传感器的原始告警事件集中存在大量无意义的频繁模式,而且这些频繁模式大多是与系统正常访问或者配置问题相关的。如果直接在这样的原始入侵事件集上进行知识发现,必然产生很多无意义的知识。因此,需要以D-S证据理论为基础建立告警事件筛选机制,根据告警事件的置信度进行程序的统计分析。首先,利用程序自动统计各类安全事件的分布情况。然后,利用D-S证据理论,通过精简和过滤规则评判各类告警事件的重要性,来删除无意义的事件。
2.3安全态势关联规则提取
在知识发现过程中发现的知识,通过加入关联动作转化为安全态势的关联规则,用于网络安全态势的在线关联分析。首先,分析FP-Tree算法所挖掘的安全告警事件属性间的强关联规则,如果该规则所揭示的规律与某种正常访问相关,则将其加入删除动作,并转化成安全告警事件的过滤规则。接着,分析Winepi算法所挖掘的安全告警事件间的序列关系。如果这种序列关系与某种类型的攻击相关,形成攻击事件的组合规则,则增加新的安全攻击事件。最后,将形成的关联规则转化成形式化的规则编码,加入在线关联知识库。
3.网络安全态势生成算法
网络安全态势就是被监察的网络区域在一定时间窗口内遭受攻击的分布情况及其对安全目标的影响程度。网络安全态势信息与时间变化、空间分布均有关系,对于单个节点主要表现为攻击指数和资源影响度随时间的变化,对于整个网络区域则还表现为攻击焦点的分布变化。对于某一时刻网络安全态势的计算,必须考虑一个特定的评估时间窗口T,针对落在时间窗口内的所有事件进行风险值的计算和累加。随着时间的推移,一些告警事件逐渐移出窗口,而新的告警事件则进入窗口。告警事件发生的频度反映了安全威胁的程度。告警事件频发时,网络系统的风险值迅速地累积增加;而当告警事件不再频发时,风险值则逐渐地降低。首先,需要根据融合后的告警事件计算网络节点的风险等级。主要考虑以下因素:告警置信度c、告警严重等级s、资源影响度m。其中,告警可信度通过初始定义和融合计算后产生;告警严重等级被预先指定,包含在告警信息中;资源影响度则是指攻击事件对其目标的具体影响程度,不同攻击类别对不同资源造成的影响程度不同,与具体配置、承担的业务等有关。此外,还应考虑节点的安全防护等级Pn、告警恢复系数Rn等因素。
4.结束语
本文提出了一个基于知识发现的网络安全态势建模和生成框架。在该框架的基础上设计并实现了网络安全态势感知系统,系统支持网络安全态势的准确建模和高效生成。实验表明本系统具有统一的网络安全态势建模和生成框架;准确构建网络安全态势度量的形式模型;通过知识发现方法,有效简化告警事件库,挖掘频繁模式和序列模式并转化为态势关联规则。
篇(7)
0 引言
对电力企业信息内网海量安全事件进行高效、准确的关联分析是实现电力企业网络安全设备联动的前提,而如何设计与实现一个高效的电力企业安全事件关联分析引擎正是电力企业信息内网安全事件关联分析应该解决的关键问题。
1 安全事件关联分析研究现状及存在的问题
关联分析在网络安全领域中是指对网络全局的安全事件数据进行自动、连续分析,通过与用户定义的、可配置的规则匹配来识别网络潜在的威胁和复杂的攻击模式,从而发现真正的安全风险,达到对当前安全态势的准确、实时评估,并根据预先制定策略做出快速的响应,以方便管理人员全面监控网络安全状况的技术。关联分析可以提高网络安全防护效率和防御能力,并为安全管理和应急响应提供重要的技术支持。关联分析主要解决以下几个问题:
1)为避免产生虚警,将单个报警事件与可能的安全场景联系起来;
2)为避免重复报警,对相同、相近的报警事件进行处理;
3)为达到识别有计划攻击的目的,增加攻击检测率,对深层次、复杂的攻击行为进行挖掘;
4)提高分析的实时性,以便于及时进行响应。
2 安全事件关联分析引擎的设计
安全事件关联分析方法包括离线分析和在线分析两种。离线分析是在事件发生后通过对日志信息的提取和分析,再现入侵过程,为入侵提供证据,其优点是对系统性能要求不高,但是实时性比较低,不能在入侵的第一时间做出响应。在线分析是对安全事件进行实时分析,虽然其对系统性能要求比较高,但是可以实时发现攻击行为并实现及时响应。由于电力工业的特点决定了电力企业信息内网安全不仅具有一般企业内网安全的特征,而且还关系到电力实时运行控制系统信息的安全,所以对电力企业安全事件的关联分析必须是实时在线的,本文所研究的安全事件关联分析引擎是一个进行在线分析的引擎。
2.1 安全事件关联分析系统
安全事件管理系统是国家电网网络安全设备联运系统的一个子系统,它是将安全事件作为研究对象,实现对安全事件的统一分析和处理,包括安全事件的采集、预处理、关联分析以及关联结果的实时反馈。
内网设备:内网设备主要是电力企业信息内网中需要被管理的对象,包括防病毒服务器、邮件内容审计系统、IDS、路由器等安全设备和网络设备。通过端收集这些设备产生的安全事件,经过预处理后发送到关联分析模块进行关联分析。
事件采集端:主要负责收集和处理事件信息。收集数据是通过Syslog、SNMP trap、JDBC、ODBC协议主动的与内网设备进行通信,收集安全事件或日志信息。由于不同的安全设备对同一条事件可能产生相同的事件日志,而且格式各异,这就需要在端将数据发送给服务器端前对这些事件进行一些预处理,包括安全事件格式的规范化,事件过滤、以及事件的归并。
关联分析:其功能包括安全事件频繁模式挖掘、关联规则生成以及模式匹配。关联分析方法主要是先利用数据流频繁模式挖掘算法挖掘出频繁模式,再用多模式匹配算法与预先设定的关联规则进行匹配,产生报警响应。
控制台:主要由风险评估、资产管理、报表管理和应急响应中心组成。风险评估主要是通过对日志事件的审计以及关联分析结果,对企业网络设备及业务系统的风险状态进行评估。应急响应中心是根据结合电力企业的特点所制定的安全策略,对于不同的报警进行不同的响应操作。资产管理与报表管理分别完成对电力企业业务系统资产的管理和安全事件的审计查看等功能。另外,对于关联分析模块匹配规则、端过滤规则等的制定和下发等也在控制成。
数据库:数据库包括关联规则库、策略库和安全事件数据库三种。关联规则库用来存储关联分析所必须的关联规则,策略库用来存储策略文件,安全事件数据库用来存储从端获取用于关联的数据、进行关联的中间数据以及关联后结果的数据库。
2.2 关联分析引擎结构
事件关联分析引擎作为安全事件关联分析系统的核心部分,由事件采集、通信模块、关联分析模块和存储模块四部分组成。其工作原理为:首先接收安全事件采集发送来的安全事件,经过预处理后对其进行关联分析,确定安全事件的危害程度,从而进行相应响应。引擎结构如图1所示。
2.3 引擎各模块功能设计
1)事件采集模块。事件日志的采集由事件采集来完成。事件采集是整个系统的重要组成部分,它运行于电力企业内网中各种安全设备、网络设备和系统终端上,包括采集模块、解析模块和通信模块三个部分。它首先利用Syslog、trap、JDBC、ODBC协议从不同安全设备、系统中采集各种安全事件数据,由解析模块进行数据的预处理,然后由通信模块发送到关联分析引擎。
2)事件预处理。由于日志数据来源于交换机、路由器、防火墙、网络操作系统、单机操作系统、防病毒软件以及各类网络管理软件,可能包含噪声数据、空缺数据和不一致数据,这将严重影响数据分析结果的正确性。而通过数据预处理,则可以解决这个问题,达到数据类型相同化、数据格式一致化、数据信息精练化的目的。
事件预处理仍在事件采集中完成,主要包括事件过滤、事件范化和事件归并三部分。
3)事件关联分析模块。事件的属性包括:事件分类、事件严重等级、事件源地址、源端口、目的地址、目的端口、协议、事件发生时间等,这些属性在关联分析时需要用到,故把规则属性集设置为:
各字段分别表示:规则名称、源IP地址、目的IP地址、源端口号、目的端口号、协议、设备编号、事件发生时间、事件严重等级。
该模块将经过处理的海量日志信息数据流在内存中利用滑动窗口处理模型,经过关联分析算法进行关联规则挖掘后,采用高效的模式匹配算法将得到的关联规则与规则库中预先设定的规则进行不断的匹配,以便实时地发现异常行为,为后续告警响应及安全风险分析等提供依据。
3 结束语
本文首先基于引擎的设计背景介绍了引擎的总体结构以及关联分析流程,然后分别给出了事件采集、事件关联分析模块的设计方案,包括模块功能、模块结构以及规则库的设计方案。
参考文献:
篇(8)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)31-0800-03
The Cooperative Intrusion Detection System Model Based on Campus Network
LI Ang1,2, HU Xiao-long1
(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)
Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.
Key words: campus network; network security; intrusion detection
1 网络安全形势分析
2007年,我国公共互联网网络整体上运行基本正常,但从CNCERT/CC接收和监测的各类网络安全事件情况可以看出,网络信息系统存在的安全漏洞和隐患层出不穷,利益驱使下的地下黑客产业继续发展,网络攻击的种类和数量成倍增长,终端用户和互联网企业是主要的受害者,基础网络和重要信息系统面临着严峻的安全威胁。在地下黑色产业链的推动下,网络犯罪行为趋利性表现更加明显,追求经济利益依然是主要目标。黑客往往利用仿冒网站、伪造邮件、盗号木马、后门病毒等,并结合社会工程学,窃取大量用户数据牟取暴利,包括网游账号、网银账号和密码、网银数字证书等。木马、病毒等恶意程序的制作、传播、用户信息窃取、第三方平台销赃、洗钱等各环节的流水作业构成了完善的地下黑色产业链条,为各种网络犯罪行为带来了利益驱动,加之黑客攻击手法更具隐蔽性,使得对这些网络犯罪行为的取证、追查和打击都非常困难[1]。
从IDC网络安全调查数据来看,网络的安全威胁主要来自三个方面:第一、网络的恶意破坏者,也就是我们所说的黑客,造成的正常网络服务的不可用、系统/数据的破坏;第二、无辜的内部人员造成的网络数据的破坏、网络病毒的蔓延扩散、木马的传播;第三、就是别有用心的间谍人员,通过窃取他人身份进行越权数据访问,以及偷取机密的或者他人的私密信息。其中,由于内部人员而造成的网络安全问题占到了70% 。
纵观高校校园网安全现状,我们会发现同样符合上面的规律,即安全主要来自这三方面。而其中,来自校园网内部的安全事件占到了绝大多数。这与校园网的用户是息息相关的。一方面,高校学生这群精力充沛的年轻一族对新鲜事物有着强烈的好奇心,他们有着探索的高智商和冲劲,却缺乏全面思考的责任感。同时网络也使得黑客工具等的获取更加的轻松。另一方面,校园网内却又存在着很多这样的用户,他们使用网络来获取资料,在网络上办公、娱乐,但是安全意识却明显薄弱,他们不愿意或者疏于安装防火墙、杀毒软件。
此外,我们的网络管理者会发现,还面临这其他一些挑战,比如:
1) 用户可以在随意接入网络,出现安全问题后无法追查到用户身份;
2) 网络病毒泛滥,网络攻击成上升趋势。安全事件从发现到控制,基本采取手工方式,难以及时控制与防范;
3) 对于未知的安全事件和网络病毒,无法控制;
4) 用户普遍安全意识不足,校方单方面的安全控制管理,难度大;
5) 现有安全设备工作分散,无法协同管理、协同工作,只能形成单点防御。各种安全设备管理复杂,对于网络的整体安全性提升有限。
6) 某些安全设备采取网络内串行部署的方式,容易造成性能瓶颈和单点故障;
7) 无法对用户的网络行为进行记录,事后审计困难;
总之,网络安全保障已经成为各相关部门的工作重点之一,我国互联网的安全态势将有所改变。
2 入侵检测概述
James Aderson在1980年使用了“威胁”概述术语,其定义与入侵含义相同。将入侵企图或威胁定义未经授权蓄意尝试访问信息、窜改信息、使系统不可靠或不能使用。Heady给出定外的入侵定义,入侵时指任何企图破坏资源的完整性、机密性及可用性的活动集合。Smaha从分类角度指出入侵包括尝试性闯入、伪装攻击、安全控制系统渗透、泄漏、拒绝服务、恶意使用六种类型。
从技术上入侵检测系统可分为异常检测型和误用检测型两大类。异常入侵检测是指能够根据异常行为和使用计算机资源情况检测出来的入侵。异常检测试图用定量方式描述可接受的行为特征,以区别非正常的、潜在入侵。误用入侵检测是指利用已知系统和应用软件的弱点攻击模式来检测入侵。与异常入侵检测相反,误用入侵检测能直接检测不利的或不可接受的行为,而异常入侵检测是检查同正常行为相违背的行为。
从系统结构上分,入侵检测系统大致可以分为基于主机型、基于网络型和基于主体型三种。
基于主机入侵检测系统为早期的入侵检测系统结构、其检测的目标主要是主机系统和系统本地用户。检测原理是根据主机的审计数据和系统的日志发现可疑事件,检测系统可以运行在被检测的主机上。这种类型系统依赖于审计数据或系统日志准确性和完整性以及安全事件的定义。若入侵者设法逃避设计或进行合作入侵,则基于主机检测系统就暴露出其弱点,特别是在现在的网络环境下。单独地依靠主机设计信息进行入侵检测难以适应网络安全的需求。这主要表现,一是主机的审计信息弱点,如易受攻击,入侵者可通过通过使用某些系统特权或调用比审计本身更低级的操作来逃避审计。二是不能通过分析主机审计记录来检测网络攻击(域名欺骗、端口扫描等)。因此,基于网络入侵检测系统对网络安全是必要的,这种检测系统根据网络流量、协议分析、简单网络管理协议信息等数据检测入侵。主机和网络型的入侵检测系统是一个统一集中系统,但是,随着网络系统结构复杂化和大型化,系统的弱点或漏洞将趋向于分布式。另外,入侵行为不再是单一的行为,而是表现出相互协作入侵特点。入侵检测系统要求可适应性、可训练性、高效性、容错性、可扩展性等要求。不同的IDS之间也需要共享信息,协作检测。于是,美国普度大学安全研究小组提出基于主体入侵检测系统。其主要的方法是采用相互独立运行的进程组(称为自治主体)分别负责检测,通过训练这些主体,并观察系统行为,然后将这些主体认为是异常的行为标记出来,并将检测结果传送到检测中心。另外,S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。
对于入侵检测系统评估,主要性能指标有:
1) 可靠性――系统具有容错能力和可连续运行;
2) 可用性――系统开销要最小,不会严重降低网络系统性能;
3) 可测试――通过攻击可以检测系统运行;
4) 适应性――对系统来说必须是易于开发和添加新的功能,能随时适应系统环境的改变;
5) 实时性――系统能尽快地察觉入侵企图以便制止和限制破坏;
6) 准确性――检测系统具有低的误警率和漏警率;
7) 安全性――检测系统必须难于被欺骗和能够保护自身安全[4]。
3 协作式入侵检测系统模型
随着黑客入侵手段的提高,尤其是分布式、协同式、复杂模式攻击的出现和发展,传统、单一、缺乏协作的入侵检测技术已不能满足需求,要有充分的协作机制,下面就提出协作式入侵检测的基本模型。
3.1 协作式入侵检测系统由以下几个部分组成
1) 安全认证客户端(SU)。能够执行端点防护功能,并参与用户的身份认证过程。参与了合法用户的验证工作完成认证计费操作,而且还要完成安全策略接收、系统信息收集、安全漏洞上传,系统补丁接收修复等大量的工作,对系统的控制能力大大增强。
2) 安全计费服务器(SMA)。承担身份认证过程中的Radius服务器角色,负责对网络用户接入、开户,计费等系统管理工作外,还要负责与安全管理平台的联动,成为协作式入侵检测系统中非常重要的一个环节。
3) 安全管理平台(SMP)。用于制定端点防护策略、网络攻击防护防止规则,协调系统中的其他组件在网络资源面临的安全威胁进行防御,能够完成事前预防、事中处理、事后记录等三个阶段的工作。智能的提供一次配置持续防护的安全服务。
4) 安全事件解析器(SEP)。接收处理NIDS发送过来的网络攻击事件信息,处理后发送给安全管理平台,目的是屏弊不同厂家的NIDS的差异,把不同厂商、不同的入侵事件转换成统一的安全管理平台能处理的格式转发给安全管理平台,便于安全管理平台处理。
5) 入侵检测系统(IDS)。网络入侵检测设备,对网络流量进行旁路监听,检测网络攻击事件,并通过SEP向安全管理平台反馈网络攻击事件,由安全管理平台处埋这些攻击事件。一个网络中可以布暑多个IDS设备。
入侵检测系统由三个部分组成:
1) Sensor探测器,也就是我们常看到的硬件设备,它的作用是接入网络环境,接收和分析网络中的流量。
2) 控制台:提供GUI管理界面,配置和管理所有的传感器并接收事件报警、配置和管理对于不同安全事件的响应方式、生成并查看关于安全事件、系统事件的统计报告,控制台负责把安全事件信息显示在控制台上。
3) EC(Event Collector)事件收集器,它主要起以下作用:负责从sensor接收数据、收集sensor日志信息、负责把相应策略及签名发送给sensor、管理用户权限、提供对用户操作的审计,向SEP发送入侵事件等工作。EC可以和控制台安装在同一个工作站中。
3.2 协作式入侵检测系统中组件间的交互过程
1) SAM和SMP的交互过程
在协作式入侵检测系统中,SMP同SAM的关系就是,SMP连接到SAM。连接成功后,接收SAM发送的接入用户上线,下线消息。Su上线,SAM发送用户上线消息。Su下线,SAM发送用户下线消息。Su重认证,SAM发送用户上线消息。
2) JMS相关原理
SMP同SAM之间的交互是通过JMS(Java Message Service)。SAM启动JBoss自带的JMS服务器,该服务器用于接收和发送JMS消息。SAM同时也作为JMS客户端(消息生产者),负责产生JMS信息,并且发送给JMS服务器,SMP也是JMS客户端(消息消费者)。目前SAM所实现的JMS服务器是以“主题”的方式的,即有多少个JMS客户端到JMS服务器订阅JMS消息,JMS服务器就会发送给多少个JMS客户端。当然了消息生产者也可以多个。相当于JMS服务器(如SAM)是一个邮局,其它如JMS客户端(如SMP,NTD)都是订阅杂志的用户,同时SAM也作为出版商产生杂志。这样,SAM产生用户上下线消息,发送到SAM所在Jboss服务器的JMS服务器中,JMS服务器发现SMP订阅了该消息,则发送该消息给SMP。
在协作式入侵检测系统中,SMP就是JMS客户端,SAM既作为JMS消息生产者,也作为JMS服务器。当SMP启动时,SMP通过1099端口连接到SAM服务器,并且进行JMS消息的订阅,订阅成功后,即表示SMP同SAM联动成功。当用户通过su上线成功后,SAM根据JMS的格式,产生一条JMS信息,然后发送给JMS服务器,JMS服务器检查谁订阅了它的JMS消息,然后发送给所有的JMS用户。
3) SU和SMP的交互过程
间接交互:对于Su上传的端点防护HI状态(成功失败),HI配置文件更新请求,每个Su请求的响应报文,SMP下发给Su的相关命令,均通过交换机进行透传,即上传的信息都包含再SNMP Trap中,下发的信息都包含在SNMP Set报文中。交换机将Su上传的EAPOL报文封装在SNMP Trap包中,转发给SMP。交换机将SMP下发的SNMP Set报文进行解析,提取出其中包含的EAPOL报文,直接转发给Su。这样就实现了Su同SMP的间接交互,隐藏了SMP的位置。
直接交互:对于一些数据量较大的交互,无法使用EAPOL帧进行传输(帧长度限制)。因此Su从SMP上面下载HI配置文件(FTP服务,端口可指定),Su发送主机信息给SMP的主机信息收集服务(自定义TCP协议,端口5256,能够通过配置文件修改端口),都是由SU和SMP直接进行交互。
4) SMP同交换机之间的交互
交换机发送SNMP Trap报文给SMP。交换机发送的SNMP Trap都是用于转发Su上传的消息,如果没有Su,交换机不会发送任何同GSN方案相关的Trap给SMP的。
SMP发送SNMP Get和SNMP Set给交换机:a) 在用户策略同步时,会先通过SNMP Get报文从交换机获取交换机的策略情况;b) 安装删除策略时,SMP将策略相关信息发送SNMP Set报文中,发送给交换机;c) 对用户进行重人证,强制下线,获取HI状态,手动获取主机信息等命令,都是通过SNMP Set发送给交换机的,然后由交换机解释后,生成eapol报文,再发送给su,由su进行实际的操作。
5) SMP与SEP交互
SEP在收到NIDS检测到的攻击事件后(这个攻击事件是多种厂商的NIDS设备通过Syslog、UDP、SNMP等报文的形式发送到SEP的),SEP处理完这些不同厂商发现不同攻击事件的信息后,以UDP的方式发送到SMP中,完成SEP和SMP的交互过程,这是一个单向的过程,也就是说SMP只从SEP中接收数据,而不向SEP发送数据。
6) SEP与NIDS交互
首先NIDS检测到某个IP和MAC主机对网络的攻击事件,并把结果通过Syslog、UDP、SNMP等报文的形式发送到SEP(安全事件解析器),安全事件解析器SEP再把这个攻击事件通过UDP报文转发到SMP(安全管理平台)。
3.3 协作式入侵检测系统工作原理及数据流图
协作式入侵检测系统工作原理:
1) 身份认证――用户通过安全客户端进行身份认证,以确定其在该时间段、该地点是否被允许接入网络;
2) 身份信息同步――用户的身份认证信息将会从认证计费管理平台同步到安全策略平台。为整个系统提供基于用户的安全策略实施和查询;
3) 安全事件检测――用户访问网络的流量将会被镜像给入侵防御系统,该系统将会对用户的网络行为进行检测和记录;
4) 安全事件通告――用户一旦触发安全事件,入侵防御系统将自动将其通告给安全策略平台;
5) 自动告警――安全策略平台收到用户的安全事件后,将根据预定的策略对用户进行告警提示;
6) 自动阻断(隔离)――在告警提示的同时,系统将安全(阻断、隔离)策略下发到安全交换机,安全交换机将根据下发的策略对用户数据流进行阻断或对用户进行隔离;
7) 修复程序链接下发――被隔离至修复区的用户,将能够自动接收到系统发送的相关修复程序链接;
8) 自动获取并执行修复程序――安全客户端收到系统下发的修复程序连接后,将自动下载并强制运行,使用户系统恢复正常。
协作式入侵检测数据流图见图3。
4 结束语
由于各高校实力不一、校园网规模不一,出现了许多问题,其中最主要的是“有硬无软”和“重硬轻软” 。特别是人们的安全意识淡薄,虽然网络安全硬件都配备齐全,但关于网络的安全事故却不断发生,使校园网的安全面临极大的威胁。因此,随着校园网规模的不断扩大,如何确保校园网正常、高效和安全地运行是所有高校都面临的问题。该文结合高校现在实际的网络环境,充分利用各种现有设备,构建出协作式入侵检测系统,实现了“多兵种协同作战” 的全局安全设计,同时将安全结构覆盖网络传输设备(网络交换机、路由器等)和网络终端设备(用户PC、服务器等),成为一个全局化的网络安全综合体系。
参考文献:
[1] CNCERT/CC[P].网络安全工作报告,2007.
篇(9)
1.1安全事件管理模块
1.1.1安全事件收集子模块
能够通过多种方式收集各类信息安全设备发送的安全事件信息,收集方式包含几种:(1)基于SNMPTrap和Syslog方式收集事件;(2)通过0DBC数据库接口获取设备在各种数据库中的安全相关信息;(3)通过OPSec接口接收事件。在收集安全事件后,还需要安全事件预处理模块的处理后,才能送到安全事件分析子模块进行分析。
1.1.2安全事件预处理模块
通过几个步骤进行安全事件的预处理:(1)标准化:将外部设备的日志统一格式;(2)过滤:在标准化步骤后,自定义具有特别属性(包括事件名称、内容、产生事件设备IP/MAC等)的不关心的安全事件进行丢弃或特别关注的安全事件进行特别标记;(3)归并:针对大量相同属性事件进行合并整理。
1.1.3安全事件分析子模块
关联分析:通过内置的安全规则库,将原本孤立的实时事件进行纵向时间轴与历史事件比对和横向属性轴与其他安全事件比对,识别威胁事件。事件分析子模块是SOC系统中最复杂的部分,涉及各种分析技术,包括相关性分析、结构化分析、入侵路径分析、行为分析。事件告警:通过上述过程产生的告警信息通过XML格式进行安全信息标准化、规范化,告警信息集中存储于日志数据库,能够满足容纳长时间信息存储的需求。
1.2安全策略库及日志库
安全策略库主要功能是传递各类安全管理信息,同时将处理过的安全事件方法和方案收集起来,形成安全共享知识库,为培养高素质网络安全技术人员提供培训资源。信息内容包括安全管理信息、风险评估信息、网络安全预警信息、网络安全策略以及安全案例库等安全信息。安全日志库主要功能是存储事件管理模块中收集的安全日志,可采用主流的关系性数据库实现,例如Oracle、DB2、SQLServer等。
1.3安全业务模块
安全业务模块包括拓扑管理子模块和安全风险评估子模块。拓扑管理子模块具备的功能:(1)通过网络嗅探自动发现加入网络中的设备及其连接,获取最初的资产信息;(2)对网络拓扑进行监控,监控节点运行状态;(3)识别新加入和退出节点;(4)改变网络拓扑结构,其过程与现有同类SOC产品类似,在此不再赘述。目前按照国标(GB/T20984-2007信息安全风险评估规范),将信息系统安全风险分为五个等级,从低到高分别为微风险、一般风险、中等风险、高风险和极高风险。系统将通过接收安全事件管理模块的分析结果,完成资产的信息安全风险计算工作,进行定损分析,并自动触发任务单和响应来降低资产风险,达到管理和控制风险的效果。
1.4控制中心模块
该模块负责管理全网的安全策略,进行配置管理,对全网资产进行统一配置和策略统一下发,改变当前需要对每个设备分别下方策略所带来的管理负担,并不断进行优化调整。控制中心提供全网安全威胁和事故的集中处理服务,事件的响应可通过各系统的联动、向第三方提供事件信息传递接口、输出任务工单等方式实现。该模块对于确认的安全事件可以通过自动响应机制,一方面给出多种告警方式(如控制台显示、邮件、短信等),另一方面通过安全联动机制阻止攻击(如路由器远程控制、交换机远程控制等)。各系统之间联动通过集合防火墙、入侵监测、防病毒系统、扫描器的综合信息,通过自动调整安全管理中心内各安全产品的安全策略,以减弱或者消除安全事件的影响。
1.5网间协作模块
该模块的主要功能是根据结合自身的工作任务,判定是否需要其它SOC的协同。若需要进行协同,则与其它SOC之间进行通信,传输相关数据,请求它们协助自己完成安全威胁确认等任务。
篇(10)
中图分类号:TP393文献标识码:A文章编号:1009-3044(2010)19-5189-05
Response Cost Analysis Based on Fine-grained Event Categories
LI Cheng-dong
(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)
Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.
Key word: intrusion response; event categories; cost analysis
成本分析,通俗的理解就是考虑价格。通常我们做事情都会有意识或无意识的考虑价格或者代价,就是去考虑所做事情是否值得的问题。如果收获比付出大,就是值得的;相反的收益较低,那就不值得做。
在网络安全上,我们同样也需要考虑价格和代价。这一思想,从整体网络安全的角度上看,就是目前提出的“适度安全”的概念。所谓“适度安全”,就是在信息安全风险和投入之间取得平衡。例如,如果一个企业在信息安全风险方面的预算是一年100万元,那么,可以肯定的是它在信息安全上的投入不会是1000万元。
在网络入侵响应上,我们同样面临着这样的问题。首先举一个简单的例子:一家移动运营商被黑客入侵一个关键业务,那么作为响应,他可能会在防火墙访问控制策略中添加一条严格的规则,用来防止类似事件的再次发生。然而,这样的一条规则增加,很有可能造成的后果是通信服务质量下滑。所以是否要采用这些措施,必须由经营者对潜在的安全威胁进行审议,考虑入侵带来的损失和响应造成的服务质量下降造成的损失孰重孰轻。
一个理想的入侵响应系统应该是用最小的代价来最大限度减少入侵带来的损失。入侵响应必须从实际情况出发来应对入侵事件,不惜一切代价的“响应”是不合理的。因此,入侵响应必须要考虑成本,也就是说,一个基本的思想是响应成本不能超过预期的入侵造成的损失。
目前,在入侵响应的技术研究方面主要侧重于技术上的可行性或技术上的有效性,而忽视了在实际应用方面成本。这是因为技术人员和商业用户在同一问题上的考虑重点不同,对技术人员来说,并没有把费用放在第一位。
通过以上分析讨论,可以看出,对响应的成本分析进行深入研究是非常有意义与有必要的。
1 细粒度安全事件分类描述
大量系统漏洞的存在是安全事件产生的根源,网络攻击事件更是对安全事件的研究的主体。因此与网络安全事件相关的分类研究主要包括对漏洞的分类研究和对攻击的分类研究。下面主要从这两个方面对相关分类研究进行介绍。
1.1 系统安全漏洞分类研究
系统漏洞也可以称为脆弱性,是指计算机系统在硬件,软件,协议等在设计,实施以及具体的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未经授权的用户有可能利用这些漏洞取得系统权限,执行非法操作,从而造成安全事故的发生
对漏洞分类的研究有一段时间,提出了许多分类方法,但大多数是停留在一维的分类上面。Landwehr在总结前人研究的基础上,提出了一个多层面的脆弱性分类[1]。这种脆弱性分类,主要从漏洞来源、引入时间和存在位置三个角度进行详细的分类,目的是建立一种更安全的软件系统。Landwehr的漏洞分类三维模型如图1所示。
这种分类方法的缺点是概念上存在交叉和模糊现象,在分类方法上还不够完善。但是它的意义是提出了一种多维的分类模型,同时也说明了按照事物的多个属性从多个维度进行分类的必要性。
1.2 攻击分类研究
对攻击的分类研究有助于更好地防御攻击,保护系统。攻击分类对恰当的制定攻击策略代价估算是必不可少的。
根据不同的应用目的,攻击的分类方法各有不同,与漏洞分类类似,多维的角度是共同的需求。在总结前人基础上, Linqvist进一步阐述了Landwehr的多维分类思想。他认为,一个事物往往有多个属性,分类的主要问题是选择哪个属性作为分类基础的问题。Linqvist认为,攻击的分类应该从系统管理员的角度来看,系统管理员所关注的是在一次攻击中使用的攻击技术和攻击造成的结果。因此,Linqvist以技术为基础,在攻击技术和攻击结果两个角度上对网络攻击进行了分类[2],其目的在于建立一个有系统的研究框架。Linqvist的攻击分类,如图2所示。
通过对以上这些安全事件相关分类研究的介绍,我们可以得到以下两点启发:
1) 安全事件的分类应该以事件的多个属性为依据,从多个维度进行分类。
2) 分类研究应该以应用为目的,应该满足分类的可用性要求。
所以对网络安全事件的分类研究应该是面向应急响应过程的。
1.3 细粒度事件分类
通过以上的简要介绍,我们从应急响应过程的要求出发有重点的提取分类依据,构建了一个面向响应的多维分类模型。
1.3.1 安全事件要素分析
一个安全事件的形式化描述[3]如图3所示。攻击者利用某种工具或攻击技术,通过系统的某个安全漏洞进入系统,对攻击目标执行非法操作,从而导致某个结果产生,影响或破坏到系统的安全性。最后一步是整个事件达到的目的,比如是达到了政治目的还是达到了经济目的。
以上描述指出了安全事件的多个要素,这些要素可以作为安全事件的分类依据。从而我们可以从不同维度出发,构造一个多维分类模型。
1.3.2 细粒度的分类方法
安全事件应急响应是针对一个网络安全事件,为达到防止或减少对系统安全造成的影响所采取的补救措施和行动。根据事件应急响应六阶段的方法论[4],响应过程包括:准备,检测,抑制,根除,恢复,追踪六个阶段。其中的关键步骤是抑制反应,根除和恢复。
在上述讨论的基础上,我们提出了一种面向应急响应的网络安全事件分类方法。这种方法以事件的多个要素作为分类依据,同时引入时间概念,其中每一个维度都有具体的粒度划分。在这6个维度中,又根据响应过程的要求,以系统安全漏洞和事件结果两个角度作为重点。
通过多维分类模型,我们可以从不同角度对网络安全事件进行详细分类,确定事件的多个性质或属性,从而有利于生成准确的安全事件报告,并对响应成本进行决策分析。利用此模型,我们还可以对以往的安全事件进行多维度的数据分析和知识发现。
当然,模型也有需要改进的地方,比如在每个维度的详细划分上仍然存在某些概念上的交叉与模糊,在下一步的具体应用中应逐步加以改进和完善。
2 成本因素与成本量化
以本文提出的多维度的安全事件分类为基础进行成本分析,首先需要确定与安全事故的因素有关的费用。依据经验,我们考虑的与响应相关的费用主要来自两个方面:入侵损失和响应代价。
入侵损失由既成损失和潜在损失构成。一个安全事件发生,它可能会造成一些对目标系统的损害,这是既成损失。潜在损失可以理解为如果安全事件是在系统中以继续存在可能造成的相关联的损失,记为PDC(Potential Damage Cost)。
响应代价是指针对某次入侵行为,采取相应的响应措施需要付出的代价,可以记为RC(Response Cost)。
入侵响应的目的是在检测到安全事件后,为防止事件继续扩大而采取的有效措施和行动,在此过程中我们应尽最大可能消除或减少潜在损失。因此成本分析的主要目标是对潜在损失进行分析。在入侵响应过程中考虑成本因素,其主要目的应是在潜在损失和响应成本之间寻找一个平衡点。也就是说,响应成本不能高于潜在损失,否则就没有必要进行响应。
在确定成本因素之后,成本分析的关键是成本量化问题。与此相关的研究,我们参考网络安全风险评估的方法。所谓风险评估,是指对一个企业的信息系统或网络的资产价值、安全漏洞、安全威胁进行评估确定的过程。
确定方法可以定性,也可以量化。从安全风险评估工作的角度来看,完全的,精确化的量化是相当困难的,但定性分析和定量分析结合起来是一个很好的选择。另外,与风险评估相似,我们的工作主要是给出一个成本量化的方法,具体的量化值应该由用户参与确定。因为同样的入侵行为,给一个小的传统企业带来的潜在损失可能是10万,而给一个已经实现信息化的大企业带来的潜在损失可能就是100万。
1) 潜在损失(PDC)
入侵的潜在损失可能取决于多个方面。这里我们主要从入侵行为本身和入侵目标两个方面进行考虑。入侵目标的关键性记为Criticality,关键目标的量化主要依据经验,可以通过目标系统在网络中所具备的功能或所起的作用体现出来。我们取目标关键性值域为(0, 5),5为最高值。一般的,我们可以把网关、路由器、防火墙、DNS服务器的关键性值定义为5; Web, Mail, FTP等服务器记为4;而普通UNIX 工作站可以定义为2;Windows工作站可以定义为l。当然,定义也可以根据具体的网络环境进行调整。
入侵的致命性是指入侵行为本身所具有的危害性或者威胁性的高低,记为Lethality。这个量与入侵所针对的目标无关,只是对入侵行为本身的一个描述。比如,一个可以获取根用户权限的攻击的危害程度就高于只可以获取普通用户权限的攻击的危害程度;而主动攻击的危害性也高于被动攻击的危害性。这里我们给出一个表(表2),根据经验量化了基本的几类攻击的危害性。
依据上述的描述,我们把入侵潜在损失定义为:
PDC=Criticality×Lethality
比如同样是遭受到DOS攻击,若攻击目标是Web服务器,入侵潜在损失为
PDC=4×30=120;
若攻击目标是普通UNIX工作站,则入侵损失为
PDC=2×30=60。
2) 响应代价(RC)
响应代价的量化主要基本的响应策略和响应机制等因素决定。响应策略不同,代价也会不一样,比如主动响应的代价就比被动响应的代价要高;而同样的响应策略,不同的响应机制也可能导致响应代价不同。
从另外一个角度讲,响应成本主要包括两部分内容:执行响应措施的资源耗费和响应措施执行以后带来的负面影响,后者在响应决策过程中往往被忽视,响应带来的负面影响是多方面的。比如,为了避免入侵带来更大的损失,必要的时候需要紧急关闭受攻击服务器,如果该服务器用于提供关键业务,那业务的中断就会带来相应的损失。再比如,有时候为了阻止攻击,可能会通过防火墙阻塞来自攻击方IP的通信流量,但是如果攻击者是利用合法用户作为跳板攻击,那响应可能就会对该合法用户造成损失。这样的损失也是响应决策过程中应该考虑的。
因此,对响应代价的完全量化是比较困难的。为了说明响应成本分析的核心思想,同样将响应代价的量化简化,我们直接给出一个经验值(见表2)。这样,在确定了事件的潜在损失与响应代价之后,我们就可以做出响应决策:
如果RC≤PDC,即响应代价小于或者等于潜在损失,则进行响应。
如果RC>PDC,即响应代价超过了潜在的损失,则不进行响应。
从前面的分析我们可以得出,在某些情况下,比如扫描、嗅探等此类的攻击,响应成本已经超过了潜在的损失,那就没有必要采取响应措施了。
3 成本分析响应算法
理想化的成本分析,只需要引入潜在损失与响应代价两个量。但是实际情况并非如此简单。我们在构建响应成本分析模型,特别是评估入侵带来的潜在损失的时候,必须从响应系统的输入,也就是入侵检测系统的输出开始考虑。
在安全事件发生后,还没有完成入侵行动的情况下进行先期响应部署时本文提出的成本分析方法的重点。引起响应的有效性因素是降低反应选择在调整这种反应行动将来使用。这种反应的选择和部署的情况下自动完成它允许任何用户干预的快速遏制入侵防御,从而使系统更加有效。本文提出的方案优点在于以下几个方面:
1) 本算法确定先发制人的部署响应。
2) 在成本敏感反应的方法的响应选择是基于经济因素,并采用由攻击成本和发生的损失作为响应的依据。
3.1 成本分析的响应算法流程
本文的研究基于这样一个假设,入侵行为在某种程度上具备相似性,入侵响应系统可以记录所有曾经在系统中出现的入侵行为,无论响应的结果是成功或者控制失败,发生更大的灾难。成本分析的自动响应模式分为以下三个步骤:
第一步是确定何时进行先期的入侵抑制响应行动。本文以上述六个维度的指标作为衡量,计算相应的数值,然后和系统所能够容忍的行为进行匹配比较,确定是否进行先期入侵抑制。也就是说攻击序列已达到系统不可接受的程度,系统在较大概率上遇到一个实际的攻击,此时进行先期抑制行为。
第二个步骤主要是确定候选的入侵响应集合,在这一步骤进行加强可以减少由于第一步抑制行为的不正确引起的错误。响应集合元素的选择基于上述的两个因素潜在损失和响应成本的估算。响应成本,代表了一个响应的影响对系统进行操作,潜在的损害成本一般量化因素资源或计算能力。设置成本因素精确测量在现阶段工程上来讲存在诸多的不足。虽然目前很难确定究竟是什么时间进行量化最为有效,至少在入侵方向上使用基于特征的入侵检测响应系统可以在量化上做出较好的工作。
在最后一步,响应系统从候选集合中选择最好的响应方案,进行响应。
下面,对具体的实行步骤进行详细的讨论:
第1步:先期响应抑制。在检测到某个序列与攻击序列的相似度达到管理员设定的阈值的时候,系统启动先期抑制响应。需要注意的是,早期阶段,对于潜在的威胁做估算,即将上任的序列可以与多次入侵模式的前缀序列相匹配。该响应也可以在一段时间后才确认入侵。
为了指导响应部署过程,本文定义一个概率阈值,表示可以接受的信任水平,某些攻击一旦进行,那么其相应的响应行动就应该被触发。因此,本文设计的先期抑制响应的条件为:一旦一个特定序列发生时,其前缀为攻击序列的概率超过预先指定的概率阈值,那么可以推断的是攻击正在进行。这个阈值称为信心水平,其公式如下:
步骤2:响应集合的确定。一旦我们决定做出反应,即威胁概率已经超出容忍限度之际,我们需要确定可部署的响应策略。正如之前提到,先期抑制响应可能导致错误发生,因为不正确的响应或由于响应过度而使得系统效率降低。因此,我们的目标在这里使用下列参数,损害成本(DC damage cost)和响应成本(RC response cost)。响应的选择满足公式如下:
DC*σ>RC
第3步:最优选择的条件。要确定最佳的响应,在步骤2中选择最佳的行动,本文考虑到两个因素:成功因子(SF success factor)及风险因子(RF risk factor)。前者是在已有的响应事件中成功响应,制止入侵行为的次数百分比,后者是响应的严格程度。所谓的严格程度,本文是指对资源的影响与对合法用户的影响。严格的响应可能停止入侵,但也是带来了不利的影响,影响系统性能和用户使用情况。从本质上讲,风险因子代表了响应成本是与响应行动有关的。本文使用期望值来对最优响应进行评估,从而确定响应策略。其计算公式如下:
E(R)=Psuccess(S)*SF+Pris(S)*(-RF)
以上是阐述了成本分析的核心思想和算法,在此基础上,对现有模型进行了改进。通过分析可以看到,成本分析的关键问题还在于成本因素的合理量化,并且成本量化的问题还与企业的具体应用相关。
3.2 算法实现实例分析
典型的响应过程如下所示:
1) 假设系统的存在的序列拓扑如图4所示,响应门限设为0.5。
序列的初始设定情况,如表3所示。
2) 检测到序列{6},检测PDC是否大于0.5,因为不存在,该点,因此不做任何处理,继续进行检测;
3) 检测到序列{6,8},那么其相应的信任水平值为表4,都是低于0.5的,因此,还是不进行操作。
4) 检测到{6,8,5},{6,8,10},{6,8,9}。计算信任水平如表5。
都正好是0.5,因此都进行计算期望值,如表6所示。
5) 因此选择{6,8,9,1}的响应作为最佳的响应策略
4 成本分析有效性验证
本文通过一个模拟实验来对入侵响应的成本分析的有效性进行验证。
4.1 实验系统设计
本实验选用两种攻击模式进行攻击入侵,主要的数据如表7所示。
系统的数据来源是来自林肯实验室2005年离线评估数据。由表7所示,每一个跟攻击状态相关以损害成本的整体损失成本跟踪作为对各状态损害成本跟踪的总和。虽然本文的算法可以关联多个响应行动的一系列异常,但是,为了评估本文测试了当个序列的响应情况。
4.2 实验结果分析
首先测试了在不同的响应阈值情况下的平均潜在损失情况,其结果如图5所示。
从实验结果可以看出,比较稳定的门限值在0.4到0.7之间,在这之间内,平均损失比较固定。在门限为1的情况下,损失最低。
加入成本分析后,系统误判随着门限的不同而出现的情况如图6所示,图6是针对dos攻击的情况,从中可以看出误判的比率随着门限的降低而降低,在0.65左右,进入误差为零的状态。
参考文献:
[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.
篇(11)
中图分类号:TP311文献标识码:A文章编号:1009-3044(2008)35-2214-04
Research and Realization of Security Events Correlation Framework
ZHANG Zhong-liang
(School of Software Engineering, Tongji University, Shanghai 200331,China)
Abstract: Based on the correlation technique on the basis of prerequisites and consequences of attacks,we research and realize a Distributed framework of real-time collection and correlation analyzing multiple-source alerts. The elementary experiment indicates that the framework can reduce and analyze alerts effectively,and help the administrator find out the valuable information.
Key words: Multiple-source; real-time; correlation analyzing
1 引言
随着网络安全事件的逐年增加,越来越多的诸如IDS,防火墙,VPN等网络安全产品和技术得以应用,在一定程度上缓解了网络安全压力,但同时也引出了许多新问题[1]:
1)各种安全技术和产品之间的异构问题:信息安全建设引入了众多异构的安全技术和设备,但如何对其进行集中统一的管理?
2)海量信息难以统一管理:多种安全设备产生了海量信息,通过传统的手工或半手工方法难于对其进行分析和管理。如果不能够及时识别出其中的不可靠信息并采取相应措施,可能会给网络带来灾难性的后果;
3)IDS的误报/漏报现象:灵敏度和可靠性始终是IDS难以解决的问题,现有IDS产品中,基于异常检测的产品漏报率低,但误报率高;而基于误用检测的产品误报率低,漏报率高。同时,IDS的报警粒度太细,一旦出现攻击可能就报警,报警数量太多,且无法显示攻击意图。
如何对各种异构安全设备进行有效管理,从海量信息中及时提取出重要信息,准确高效地检测出系统中所发生的攻击行为,成为网络安全管理的重要议题。
2 研究基础及设想
事件关联大概可以分为三类:基于规则的关联[2-4]、基于统计的关联[5-6]和基于攻击前提和后果的关联[7-8]。
在基于规则的事件关联系统中,已知的安全威胁模式被保存在数据库中,当事件源产生的事件成功匹配了其中一个模式,就认为发生了安全威胁,并采取相应的措施。这种算法的误报率低,但漏报率比较高,而且需要对所有规则精确匹配并且需要及时更新规则库。
基于统计的事件关联建立在系统正常行为的基础之上,当某行为与正常行为的偏移超过预先定义的阀值时,认为发生了攻击并报警。这种算法漏报率低,但误报率比较高,其依赖于对系统正常行为的训练是否足够全面。
基于攻击前提和后果的关联是当某一事件的结果部分满足了另一事件的发生前提时,对这两个事件进行关联。与前两类方法相比,这类方法有效的解决了漏报问题而且可以潜在地揭示出事件之间的因果关系并且不受限于已知的攻击场景。
此次研究是在基于攻击前提和后果的关联思想和其攻击场景重构能力的基础上对其进行了扩充和改进,设法实现一个综合性的分布式实时安全管理平台,其中的事件关联模块是此次研究的重点。研究内容为:安全管理平台的总体设计、事件关联模块中的关键技术、实验分析、总结以及未来的工作。
3 安全管理平台的总体设计
安全管理平台提供对各种安全设备集中统一的配置和管理,并试图通过事件关联和风险评估对网络中的各种事件和日志进行分析,并及时把分析结果(包括报警关联图)通过网络报告给客户端管理员。事件关联和风险评估机制是系统智能的主要体现,也是整个系统最为关键的部分,其中事件关联模块接收各种安全事件,进行关联,给出关联结果并做出响应,其在整个系统中处于底层事件收集器与上层终端控制界面之间,安全管理平台的框架结构如图1所示,它主要包括客户控制端、服务器端、事件收集器和数据库,其中服务器包括事件关联和风险评估等重要模块。
4 事件关联模块的设计
所谓事件关联不单单指关联这一具体操作,它包括一系列的处理过程,如报警规格化、报警过滤和报警融合等。本文中事件关联模块的具体流程见图2。
下面将详细介绍关联模型中的关键技术。
4.1 报警规格化
鉴于不同类型的Sensor具有不同格式的报警事件描述,因此作为事件关联的第一步,需要采用标准的数据格式对报警事件进行描述。IDMEF[9]是IDWG发起的一份建议草案,它通过定义各种安全设备之间进行互操作的数据格式,实现信息共享。
如图3所示,参考IDMEF,本文建立了报警对象(Alert object)数据结构,包括Sensor,Signature,Target,Source,Response等子类,分别描述了Sensor的地址和属性,攻击事件详细说明,被攻击者的地址和主机属性,攻击者的地址和主机属性,安全响应策略等信息,多源异构的Sensor采用报警对象存储报警事件,并向上层结构发送进行统一处理。
4.2 报警过滤
由于网络的复杂性和攻击的不确定性,多源异构的Sensor所产生的报警可能存在某种错误,直接对包含错误信息的事件进行关联处理,将影响关联的准确度和执行效率。因此需要对原始报警事件进行过滤,消除噪音数据。下面总结了报警事件可能出现的几种错误:
时间错误:在分布式系统中,硬件环境的差异或人为因素的干扰,各子系统时钟的不一致是正常现象,但这可能导致错误的关联分析。因此在事件过滤过程中,将针对事件的时间值进行检测;
地址错误:许多黑客在进行DOS攻击时,为了掩盖自身信息往往伪造地址,填写错误的源地址或根本不存在的IP地址。大量的伪造地址将严重影响事件关联分析,因此需要对事件的IP地址进行检查;
攻击错误:网络攻击总是针对特定的操作系统或漏洞进行的,若在事件报告中,攻击事件与目标系统的实际情况不符,则可认为是Sensor的检测信息出现了错误。如:当事件报告了Ftp攻击事件而目标主机根本未开放Ftp时,可以认为这是一个错误的事件报告。
4.3 报警合并
在原始报警信息中,存在这样的情况:两条或多条报警包含相似的信息,具有固定的内在联系,描述同一个攻击事件,由多个异构Sensor产生,本文称其为重复事件。合并重复事件有利于提高关联效率,同时也帮助管理员从整体上把握网络的安全状况。
合并重复事件需要对事件的4个属性进行考察,以确定待检测的事件是否为重复事件,第5个属性给出了重复事件的敏感度:
Attack Name:攻击事件的名称;
Source IP Address:攻击者的IP地址;
Target IP Address:被攻击者的IP地址;
Detect Time:Sensor检测到攻击的时间;
Sensitivity:经过合并处理后的事件敏感度,指出了该事件对系统安全的威胁程度,取值范围是[0,1]。若取值为0时,说明重复事件对系统没有影响,可以丢弃该事件。
当系统收到新的报警事件B的时候,查找、合并重复事件的算法如下:
①根据B的Attack Name进行分类,查找相应攻击类型事件列表;
②遍历该攻击的事件列表,按B的Source IP Address搜索,假设找到事件A,如果A具有和B相同的源地址,则继续按B的Target IP Address匹配。若匹配成功,转④;若匹配不成功,则转②重新按B的Source IP Address进行匹配。若事件列表已为空,则转③;
③将B加入属于Attack Name攻击类型的事件列表,将Detect Time记入Start_detect_time字段并启动计时器,退出函数,等待下一个事件的到来;
④判断B与A是否为重复事件,若是,则A事件Count属性计数加1,调用SensitivityCount()函数计算Sensitivity值,并更新A中Sensitivity属性的值,使用B的Detect Time更新End_detect_time字段,计时器重新计时;
⑤计时器时间到,将重复事件A输出,同时输出Count,Start_detect_time,End_detect_time,Sensitivity等属性,清除事件列表中的过期事件A。
5 实验分析
为了评价上述事件关联技术,本文利用网络安全管理平台做了实验分析。实验中我们使用DARPA入侵检测评价数据库作为背景数据,然后发动一系列攻击行为产生被检测报警数据,下面将详细介绍实验环境、实验步骤和实验结果分析。
5.1 实验环境
实验环境搭建在内部局域网上,如图4所示,利用集线器连接了六台主机,使用snort作为入侵检测工具,使用Nessus作为网络漏洞扫描工具。其中,网络安全管理平台的服务器运行在192.168.80.45上,事件收集器、监控终端以及snort运行在192.168.80.39上,Nessus的客户端和网络安全管理平台的数据库建在192.168.80.43上,主机192.168.80.23上运行Nessus服务器端,而主机192.168.80.40则用于发起攻击,攻击的目标主机为192.168.80.190。
5.2 实验步骤
1) 在192.168.80.43上利用Nessus扫描整个局域网,并把扫描结果存放到数据库中。
2) 在192.168.80.45上启动网络安全管理平台的服务器。
3) 在192.168.80.39上启动snort,使其处于网络入侵检测模式,并启动网络安全管理平台的事件收集器和监控终端。
4) 实施攻击。
具体的攻击步骤如下:
①利用Nmap对192.168.80.190进行端口扫描,获得其操作系统类型、开放端口及服务类型;
②利用ms04011.exe对其发动缓冲区溢出攻击,并获得其访问控制权限;
③利用192.168.80.190对192.168.80.23发动Ping of Death攻击。
针对以上攻击步骤,snort产生了15条报警:2条SNMP request udp报警,2条SNMP public access udp报警,3条SNMP AgentX/tcp request报警,3条NETBIOS SMB-DS IPC$ unicode share access报警,3条NETBIOS SMB-DS DCERPC LSASS exploit attempt报警和2条ICMP Large ICMP Packet报警。
5.3 实验结果分析
先前Peng ning等人利用基于攻击前提和后果的关联技术开发了一个入侵报警分析工具―TIAA[10,11],但此工具是离线的,而且数据源仅为单个IDS。由于本文所提到的安全管理平台目前还处于研究开发阶段,所以我们只对其进行了简单的测试。从测试结果来看,此事件关联模型能够有效的分析报警事件,大大减少了报警数量。与TIAA相比,此事件关联模型具有以下优势:
1) 因为它是实时安全管理平台中的核心模块,所以它可以接近实时的处理安全事件以便即时做出响应;
2) 它所关联的安全事件来自多种异构安全设备,这样就提高了关联操作的准确度;
3) 它在真正执行关联操作之前对原始安全事件做了一系列的处理,包括事件规格化、事件过滤和事件合并,这样就大大提高了安全事件的质量,减少了安全事件的数量,从而可以提高事件关联的效率。
6 总结以及未来工作
本文对传统的基于攻击条件和结果的关联技术进行了改进和扩充,并进行了简单的测试,但由于条件有限,此模型还有待进一步的验证。虽然此模型在真正关联报警之前对报警做了预处理,减少了报警数量,在一定程度上提高了关联效率,但我们的目的是实现一个实时安全管理平台,所以当报警相当多的时候,执行效率仍是一个需要考虑的问题,所以我们下一步的工作重点是要进一步的完善事件关联模型,使其真正达到实时关联。
参考文献:
[1] Cuppens F.Managing Alerts in a Multi-Intrusion Detection Environment[C].17thAnnualComputer Security ApplicationsConference New-Orleans,New-Orleans, USA, December 2001.
[2] Carey N,Mohay G M,Clark A.Attack Signature Matching and Discovery in Systems Employing Heterogeneous IDS [R].ACSAC,2003:245-254.
[3] Cuppens F,Autrel F, Mi`ege A,et al.Correlation in an intrusion detection process[R].Internet Security CommunicationWorkshop (SECI),September 2002.
[4] Cuppens F,Ortalo R.LAMBDA:A Language to Model a Database for Detection of Attacks[R].Third International Workshop on theRecent Advances in Intrusion Detection (RAID'2000), October 2000.
[5] Valdes A,Skinner K.Probabilistic alert correlation[C].Proceedings of the 4th International Symposium on Recent Advancesin Intrusion Detection (RAID 2001),2002:54-68.
[6] Dain O,Cunningham R.Building scenarios from a heterogeneous alert stream[C].Proceedings of the 2001 IEEE Workshop onInformation Assurance and Security,2001:231-235.
[7] Ning P,Cui Y,Reeves D S.Analyzing intensive intrusion alerts via correlation[C].Zurich,Switzerland:Proceedings of the 5thInternational Symposium on Recent Advances in Intrusion Detection (RAID 2002),2002.
[8] Ning P,Cui Y,Reeves D S.Constructing attack scenarios through correlation of intrusion alerts[C].Washington,DC:Proceedings of the 9th ACM Conference on Computer and Communications Security,2003:245-254.
