緒論：寫作既是個人情感的抒發(fā)，也是對學(xué)術(shù)真理的探索，歡迎閱讀由發(fā)表云整理的11篇網(wǎng)絡(luò)安全事件定義范文，希望它們能為您的寫作提供參考和啟發(fā)。

篇（1）

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)08-10ppp-0c

1 相關(guān)背景

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點，同時網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點領(lǐng)域之一。到目前為止，得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻（Firewall），IDS，IPS系統(tǒng)，蜜罐系統(tǒng)等，這些安全技術(shù)在網(wǎng)絡(luò)安全防護方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展，這些技術(shù)也受到越來越多的挑戰(zhàn)，出現(xiàn)了不少的問題，主要體現(xiàn)在以下三個方面：

(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息，海量的安全事件信息難以分析和處理。

(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展，一個組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享，使得安全管理人員不能及時掌網(wǎng)絡(luò)的安全態(tài)勢。

(3)組織內(nèi)的各種安全設(shè)備都針對某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置，整個組織內(nèi)各安全設(shè)備無法形成一個有效的，整合的安全防護功能。

針對以上問題，安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護技術(shù)被提出來了，與其它的網(wǎng)絡(luò)安全防護技術(shù)相比，它更強調(diào)對整個組織網(wǎng)絡(luò)內(nèi)的整體安全防護，側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián)，從而提供更為強大的，更易于被安全人員使用的網(wǎng)絡(luò)安全保護功能。

2 安全事件管理器的概念與架構(gòu)

2.1 安全事件管理器概念

安全事件管理器的概念主要側(cè)重于以下二個方面：

(1)整合性：現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時產(chǎn)生大量的安全事件信息，安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起，形成統(tǒng)一的格式，有利于安全管理人員及時分析和掌握網(wǎng)絡(luò)安全動態(tài)。同時統(tǒng)一的、格式化的安全事件信息也為專用的，智能化的安全事件信息分析工具提供了很有價值的信息源。

(2)閉環(huán)性：現(xiàn)有的安全防護技術(shù)大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關(guān)注某一類安全事件信息，然后作出判斷和動作。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化，這些技術(shù)會出現(xiàn)一些問題，主要有誤報，漏報等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對某一類安全事件信息分析，不能與其它安全設(shè)備產(chǎn)生的信息進行關(guān)聯(lián)，從而造成誤判。安全事件管理器從這個角度出發(fā)，通過對組織內(nèi)各安全設(shè)備產(chǎn)生的信息進行整合和關(guān)聯(lián)，實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng)，達到對網(wǎng)絡(luò)安全態(tài)勢更準確的分析判斷結(jié)果。

從以上二個方面可以看出，安全事件管理器并沒有提供針對某類網(wǎng)絡(luò)安全威脅直接的防御和保護，它是通過整合，關(guān)聯(lián)來自不同設(shè)備的安全事件信息，實現(xiàn)對網(wǎng)絡(luò)安全狀況準確的分析和判斷，從而實現(xiàn)對網(wǎng)絡(luò)更有效的安全保護。

2.2 安全事件管理器的架構(gòu)

安全事件管理器的架構(gòu)主要如下圖所示。

圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖

從圖中可以看出安全事件管理主要由三個部分組成的：安全事件信息的數(shù)據(jù)庫：主要負責(zé)安全事件信息的收集、格式化和統(tǒng)一存儲；而安全事件分析服務(wù)器主要負責(zé)對安全事件信息進行智能化的分析，這部分是安全事件管理系統(tǒng)的核心部分，由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關(guān)聯(lián)分析，形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng)；安全事件管理器的終端部分主要負責(zé)圖形界面，用于用戶對安全事件管理器的設(shè)置和安全事件警報、查詢平臺。

3 安全事件管理器核心技術(shù)

3.1 數(shù)據(jù)抽取與格式化技術(shù)

數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)，只要將來源不同的安全事件信息從不同平臺的設(shè)備中抽取出來，并加以格式化成為統(tǒng)一的數(shù)據(jù)格式，才可以實現(xiàn)對安全設(shè)備產(chǎn)生的安全事件信息進行整合、分析。而數(shù)據(jù)的抽取與格式化主要由兩方面組成，即數(shù)據(jù)源獲取數(shù)據(jù)，數(shù)據(jù)格式化統(tǒng)一描述。

從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù)，而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的，所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化，目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的，因為XML語言是一種與平臺無關(guān)的標(biāo)記描述語言，采用文本方式，因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后，跨平臺實現(xiàn)對安全事件信息的共享與交互。

3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)

關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)是安全事件管理器的功能核心，安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設(shè)備的監(jiān)控信息進行分析，因此安全事件管理器的分析功能也由多種技術(shù)組成，其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)。

關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會同時在不同的安全設(shè)備上留下記錄信息，安全事件管理器通過分析不同的設(shè)備在短時間內(nèi)記錄的信息，在時間上的順序和關(guān)聯(lián)可有可能準備地分析出結(jié)果。而統(tǒng)計分析技術(shù)則是在一段時間內(nèi)對網(wǎng)絡(luò)中記錄的安全事件信息按屬性進行分類統(tǒng)計，當(dāng)某類事件在一段時間內(nèi)發(fā)生頻率異常，則認為網(wǎng)絡(luò)可能面臨著安全風(fēng)險危險，這是一種基于統(tǒng)計知識的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是，這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式，而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則，也就是了解入侵攻擊的方式才可以實現(xiàn)準確的發(fā)現(xiàn)和分析效果。

4 安全事件管理器未來的發(fā)展趨勢

目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè)，特別是信息安全產(chǎn)業(yè)中成為了熱點，并形成一定的市場。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如： IBM和思科公司都有相應(yīng)的產(chǎn)品推出，在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。

從總體上看，隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化，造成目前網(wǎng)絡(luò)防護中的木桶現(xiàn)象，即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護，其中任何一個設(shè)備的失誤都可能會造成整個防護系統(tǒng)被突破。

從技術(shù)發(fā)展來看，信息的共享是網(wǎng)絡(luò)安全防護發(fā)展的必然趨勢，網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式，將整個網(wǎng)絡(luò)的安全事件信息集中起來，進行分析，達到融合現(xiàn)有的各種安全防護技術(shù)，以及未來防護技術(shù)兼容的優(yōu)勢，從而達到更準備和有效的分析與判斷效果。因此有理由相信，隨著安全事件管理器技術(shù)的進一步發(fā)展，尤其是安全事件信息分析技術(shù)的發(fā)展，安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位。

篇（2）

對于文中平臺主要功能的實現(xiàn)，則主要通過業(yè)務(wù)邏輯層來完成，概括起來主要包含四個方面的功能。

1設(shè)備管理

對于設(shè)備管理模塊來說，可以作為其他功能模塊的基礎(chǔ)，是其他模塊有機結(jié)合的基礎(chǔ)模塊，主要包括幾個子功能：(1)設(shè)備信息管理；(2)設(shè)備狀態(tài)監(jiān)控；(3)設(shè)備拓撲管理等。這些子功能的實現(xiàn)，可以在網(wǎng)絡(luò)拓撲和手動的基礎(chǔ)上，通過統(tǒng)一通信接口來對設(shè)備的狀態(tài)和性能進行實施的監(jiān)控和管理，必要的情況下，還可以通過圖形化的方式來表示，方便平臺和系統(tǒng)管理員對設(shè)備運行狀態(tài)的及時掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設(shè)備管理平臺的核心模塊，安全事件分析模塊的目的就是對大量的網(wǎng)絡(luò)事件進行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時間分類統(tǒng)計、關(guān)聯(lián)分析和處理等。同樣，該功能模塊也能夠通過統(tǒng)一通信接口來對各個安全設(shè)備所生成的時間報告進行收集、統(tǒng)計，在統(tǒng)計分析的過程中，可以根據(jù)不同的標(biāo)準進行分類，如時間、事件源、事件目的和事件類型等，通過科學(xué)統(tǒng)計和分析，還可以利用圖表的方式進行結(jié)果顯示，從而實現(xiàn)對安全事件內(nèi)容關(guān)系及其危害程度進行準確分析的目的，并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。

3策略管理

安全設(shè)備管理平臺中的策略管理模塊包含多個功能，即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設(shè)備的策略進行標(biāo)準化定義的基礎(chǔ)上，就可以統(tǒng)一對設(shè)備的策略定義進行管理和修改，對當(dāng)前所采用的策略進行網(wǎng)絡(luò)安全事件沖突檢測，及時發(fā)現(xiàn)可能存在的網(wǎng)絡(luò)設(shè)置沖突和異常，確保網(wǎng)絡(luò)策略配置的正確性和合理性。通過對網(wǎng)絡(luò)環(huán)境中安全事件的深入分析，在跟當(dāng)前所采用安全策略相比較的基礎(chǔ)上，就能夠為設(shè)備的安全設(shè)置提供合理化建議，從而實現(xiàn)對網(wǎng)絡(luò)安全設(shè)備設(shè)置的決策輔助和支持。

4級別評估

最后一個功能模塊就是安全級別評估模塊，該模塊的主要任務(wù)就是對網(wǎng)絡(luò)商業(yè)設(shè)備安全制度的收集匯總、實施情況的總結(jié)和級別的評估等。該模塊通過對網(wǎng)絡(luò)安全事件的深入分析，在結(jié)合安全策略設(shè)置的基礎(chǔ)上，實現(xiàn)對網(wǎng)絡(luò)安全水平的準確評估，從而為網(wǎng)絡(luò)安全管理的實施和水平的提高提供有價值的數(shù)據(jù)參考。

平臺中的通信方法

要實現(xiàn)網(wǎng)絡(luò)中異構(gòu)安全設(shè)備的統(tǒng)一管理，就需要通過統(tǒng)一的通信接口來實現(xiàn)，該接口的主要功能就是通過對網(wǎng)絡(luò)中異構(gòu)設(shè)備運行狀態(tài)、安全事件等信息的定時獲取，從技術(shù)的角度解決異構(gòu)設(shè)備所造成的安全信息格式不兼容和通信接口多樣的問題，實現(xiàn)網(wǎng)絡(luò)安全信息的標(biāo)準化和格式的標(biāo)準化。

1資源信息標(biāo)準化

在網(wǎng)絡(luò)安全管理中，所涉及到的安全資源信息主要包括安全設(shè)備的運行狀態(tài)、設(shè)備配置策略信息和安全事件信息等。其中，安全設(shè)備的運行狀態(tài)信息主要通過數(shù)據(jù)交換層中的通信程序通過跟安全設(shè)備的定時通信來得到，可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲，但是采用數(shù)據(jù)庫存儲的則比較少，這主要是由于：(1)RRD文件適合某個時間點具有特定值且具有循環(huán)特性的數(shù)據(jù)存儲；(2)如果對多臺安全設(shè)備的運行狀態(tài)進行監(jiān)控的情況下，就應(yīng)該建立跟數(shù)據(jù)庫的多個連接，給后臺數(shù)據(jù)庫的通信造成影響。對于上面提到的安全設(shè)備的運行狀態(tài)信息和安全事件信息，通過對各種安全設(shè)備信息表述格式的充分考慮，本文中所設(shè)計平臺決定采用XML語言來對設(shè)備和平臺之間的差異性進行描述，不僅實現(xiàn)了相應(yīng)的功能，還能夠為平臺提供調(diào)用轉(zhuǎn)換。而對于安全策略類的信息，則是先通過管理員以手動的方式將安全策略添加到平臺，然后再在平臺中進行修改，之后就可以在通過平臺的檢測沖突，由平臺自動生成設(shè)備需要的策略信息，然后再通過管理員對策略進行手動的修改。

2格式標(biāo)準化

對于安全事件和策略的格式標(biāo)準化問題，可以通過格式的差異描述文件來實現(xiàn)彼此之間的轉(zhuǎn)換，這里提到的差異描述文件則采用XML格式來表述，而格式的自動轉(zhuǎn)換則通過JavaBean的內(nèi)置缺省功能來實現(xiàn)。

3通信處理機制

篇（3）

目前醫(yī)院網(wǎng)絡(luò)安全技術(shù)基本上還是單兵作戰(zhàn)，由殺毒軟件和防火墻等獨立安全產(chǎn)品對攻擊進行防御。這些防范措施漏洞百出，被動挨打，無法實現(xiàn)真正的全局網(wǎng)絡(luò)安全。而醫(yī)院網(wǎng)絡(luò)安全事關(guān)重大，院內(nèi)管理、處方監(jiān)控、患者服務(wù)等等信息，關(guān)乎生命健康，因此確保醫(yī)院網(wǎng)絡(luò)安全，具有重大的社會意義。

多兵種協(xié)同作戰(zhàn)

確保醫(yī)院全局網(wǎng)絡(luò)安全

在我國網(wǎng)絡(luò)安全領(lǐng)域居于領(lǐng)先地位的GSN全局安全解決方案，集自動、主動、聯(lián)動特征于一身，使擁有“縱深防御”特性的新型網(wǎng)絡(luò)安全模式成為可能。目前已經(jīng)開始應(yīng)用于醫(yī)療衛(wèi)生單位，并在2006年底，以廈門集美大學(xué)網(wǎng)絡(luò)為平臺，建成了全國唯一一個萬人規(guī)模下全局網(wǎng)絡(luò)安全應(yīng)用工程，獲得2007年第八屆信息安全大會最佳安全實踐獎。

GSN（Global Security Network全局安全網(wǎng)絡(luò)），由安全交換機、安全管理平臺、安全計費管理系統(tǒng)、網(wǎng)絡(luò)入侵檢測系統(tǒng)、安全修復(fù)系統(tǒng)等多重網(wǎng)絡(luò)元素聯(lián)合組成，能實現(xiàn)同一網(wǎng)絡(luò)環(huán)境下的全局聯(lián)動。GSN將用戶入網(wǎng)強制安全、主機信息收集和健康性檢查、安全事件下的設(shè)備聯(lián)動，集成到一個網(wǎng)絡(luò)安全解決方案中，用“多兵種”協(xié)同作戰(zhàn)的方式，實現(xiàn)網(wǎng)絡(luò)全方位安全，同時實現(xiàn)對網(wǎng)絡(luò)安全威脅的自動防御，網(wǎng)絡(luò)受損系統(tǒng)的自動修復(fù)。GSN擁有針對網(wǎng)絡(luò)環(huán)境變化和新網(wǎng)絡(luò)行為的自動學(xué)習(xí)能力，防范未知安全事件，從被動防御變成了主動出擊。

GSN在醫(yī)院網(wǎng)絡(luò)中作用機制

“聯(lián)動”是GSN精髓所在。GSN的入侵檢測系統(tǒng)分布在網(wǎng)絡(luò)的各個角落，進行安全事件檢測，最終上報給安全管理平臺。當(dāng)網(wǎng)絡(luò)被病毒攻擊時，安全管理平臺自動將安全策略下發(fā)到安全事件發(fā)生的網(wǎng)絡(luò)區(qū)域，并自動同步到整個網(wǎng)絡(luò)中，從而達到網(wǎng)絡(luò)自動防御。

安全管理平臺對安全事件的處理主要包括下發(fā)警告消息，下發(fā)修復(fù)程序，下發(fā)阻斷或者隔離策略。根據(jù)不同等級的安全事件，管理員能夠制定不同的處理方式。如針對安全等級較低，危害較小的攻擊（如掃描），管理員只下發(fā)警告消息。如果某些攻擊是由于未打某補丁，則可以下發(fā)修復(fù)程序，由用戶進行修復(fù)。如果某安全事件危害很大（如蠕蟲病毒），則可以下發(fā)阻斷或者隔離策略，對用戶進行隔離，或者阻斷其攻擊報文的發(fā)送，避免該蠕蟲病毒在整個局域網(wǎng)中傳播。

篇（4）

1網(wǎng)絡(luò)安全管理要素

目前，隨著互聯(lián)網(wǎng)的普及與發(fā)展，人們對網(wǎng)絡(luò)的應(yīng)用越來越廣泛，對網(wǎng)絡(luò)安全的意識也不斷增強，尤其是對于企業(yè)而言，網(wǎng)絡(luò)安全管理一直以來都存在諸多問題。網(wǎng)絡(luò)安全管理涉及到的要素非常多，例如安全策略、安全配置、安全事件以及安全事故等等，這些要素對于網(wǎng)絡(luò)安全管理而言有著重大影響，針對這些網(wǎng)絡(luò)安全管理要素的分析與研究具有十分重要的意義。

1.1安全策略

網(wǎng)絡(luò)安全的核心在于安全策略。在網(wǎng)絡(luò)系統(tǒng)安全建立的過程中，安全策略具有重要的指導(dǎo)性作用。通過安全策略，可以網(wǎng)絡(luò)系統(tǒng)的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規(guī)則，安全策略對于網(wǎng)絡(luò)系統(tǒng)安全而言有著重要的控制作用。換言之，就是指以安全需求、安全威脅來源以及組織機構(gòu)狀況為出發(fā)點，對安全對象、狀態(tài)以及應(yīng)對方法進行明確定義。在網(wǎng)絡(luò)系統(tǒng)安全檢查過程中，安全策略具有重要且唯一的參考意義。網(wǎng)絡(luò)系統(tǒng)的安全性、安全狀況以及安全方法，都只有參考安全策略。作為重要的標(biāo)準規(guī)范，相關(guān)工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法，利用有關(guān)途徑，對安全策略及其制定進行了解，并在安全策略系統(tǒng)下接受培訓(xùn)。同時，安全策略的一致性管理與生命周期管理的重要性不言而喻，必須確保不同的安全策略的和諧、一致，使矛盾得以有效避免，否則將會導(dǎo)致其失去實際意義，難以充分發(fā)揮作用。安全策略具有多樣性，并非一成不變，在科學(xué)技術(shù)不斷發(fā)展的背景下，為了保證安全策略的時效性，需要對此進行不斷調(diào)整與更新。只有在先進技術(shù)手段與管理方法的支持下，安全策略才能夠充分發(fā)揮作用。

1.2安全配置

從微觀上來講，實現(xiàn)安全策略的重要前提就是合理的安全配置。安全配置指的是安全設(shè)備相關(guān)配置的構(gòu)建，例如安全設(shè)備、系統(tǒng)安全規(guī)則等等。安全配置涉及到的內(nèi)容比較廣泛，例如防火墻系統(tǒng)。VPN系統(tǒng)、入侵檢測系統(tǒng)等等，這些系統(tǒng)的安全配置及其優(yōu)化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統(tǒng)的作用是否能夠發(fā)揮。合理、科學(xué)的安全配置能夠使安全系統(tǒng)及設(shè)備的作用得到充分體現(xiàn)，能夠很好的符合安全策略的需求。如果安全配置不當(dāng)，那么就會導(dǎo)致安全系統(tǒng)設(shè)備缺乏實際意義，難以發(fā)揮作用，情況嚴重時還會產(chǎn)生消極影響。例如降低網(wǎng)絡(luò)的流暢性以及網(wǎng)絡(luò)運行效率等等。安全配置的管理與控制至關(guān)重要，任何人對其隨意更改都會產(chǎn)生嚴重的影響。并且備案工作對于安全配置也非常重要，應(yīng)做好定期更新工作，并進行及時檢查，確保其能夠?qū)踩呗缘男枨竽軌蚍从吵鰜恚瑸橄嚓P(guān)工作人員工作的開展提供可靠的依據(jù)。

1.3安全事件

所謂的安全事件，指的是對計算機系統(tǒng)或網(wǎng)絡(luò)安全造成不良影響的行為。在計算機與域網(wǎng)絡(luò)中，這些行為都能夠被觀察與發(fā)現(xiàn)。其中破壞系統(tǒng)、網(wǎng)絡(luò)中IP包的泛濫以及在未經(jīng)授權(quán)的情況下對另一個用戶的賬戶或系統(tǒng)特殊權(quán)限的篡改導(dǎo)致數(shù)據(jù)被破壞等都屬于惡意行為。一方面，計算機系統(tǒng)與網(wǎng)絡(luò)安全指的是計算機系統(tǒng)與網(wǎng)絡(luò)數(shù)據(jù)、信息的保密性與完整性以及應(yīng)用、服務(wù)于網(wǎng)絡(luò)等的可用性。另一方面，在網(wǎng)絡(luò)發(fā)展過程中，網(wǎng)絡(luò)安全事件越來越頻繁，違反既定安全策略的不在預(yù)料之內(nèi)的對系統(tǒng)與網(wǎng)絡(luò)使用、訪問等行為都在安全事件的范疇之內(nèi)。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內(nèi)容比較廣泛，包括安全系統(tǒng)與設(shè)備、網(wǎng)絡(luò)設(shè)備、操作系統(tǒng)、數(shù)據(jù)庫系統(tǒng)以及應(yīng)用系統(tǒng)的日志與之間等等。安全事件將網(wǎng)絡(luò)、操作以及應(yīng)用系統(tǒng)的安全情況與發(fā)展直接的反映了出來，對于網(wǎng)絡(luò)系統(tǒng)而言，其安全狀況可以通過安全事件得到充分體現(xiàn)。在安全管理中，安全事件的重要性不言而喻，安全事件的特點在于數(shù)量多、分布散、技術(shù)復(fù)雜等。因此，在安全事件管理中往往存在諸多難題。在工作實踐中，不同的管理人員負責(zé)不同的系統(tǒng)管理。由于日志與安全事件數(shù)量龐大，系統(tǒng)安全管理人員往往難以全面觀察與分析，安全系統(tǒng)與設(shè)備的安全缺乏實際意義，其作用也沒有得到充分發(fā)揮。安全事件造成的影響有可能比較小，然而網(wǎng)絡(luò)安全狀況與發(fā)展趨勢在很大程度上受到這一要素的影響。必須采用相應(yīng)的方法對安全事件進行收集，通過數(shù)據(jù)挖掘、信息融合等方法，對其進行冗余處理與綜合分析，以此來確定對網(wǎng)絡(luò)、操作系統(tǒng)、應(yīng)用系統(tǒng)產(chǎn)生影響的安全事件，即安全事故。

1.4安全事故

安全事故如果產(chǎn)生了一定的影響并造成了損失，就被稱為安全事故。如果有安全事故發(fā)生那么網(wǎng)絡(luò)安全管理人員就必須針對此采取一定的應(yīng)對措施，使事故造成的影響以及損失得到有效控制。安全事故的處理應(yīng)具有準確性、及時性，相關(guān)工作人員應(yīng)針對事故發(fā)生各方面要素進行分析，發(fā)現(xiàn)事故產(chǎn)生的原因，以此來實現(xiàn)對安全事故的有效處理。在安全事故的處理中，應(yīng)對信息資源庫加以利用，對事故現(xiàn)場系統(tǒng)或設(shè)備情況進行了解，如此才能夠針對實際情況采取有效的技術(shù)手段，使安全事故產(chǎn)生的影響得到有效控制。

1.5用戶身份管理

在統(tǒng)一網(wǎng)絡(luò)安全管理體系中，用戶管理身份系統(tǒng)占據(jù)著重要地位。最終用戶是用戶身份管理的主要對象，通過這部分系統(tǒng)，最終用戶可以獲取集中的身份鑒別中心功能。在登錄網(wǎng)絡(luò)或者對網(wǎng)絡(luò)資源進行使用的過程中，身份管理系統(tǒng)會鑒別用戶身份，以此保障用戶的安全。

2企業(yè)網(wǎng)絡(luò)安全方案研究

本文以某卷煙廠網(wǎng)絡(luò)安全方案為例，針對網(wǎng)絡(luò)安全技術(shù)在OSS中的應(yīng)用進行分析。該企業(yè)屬于生產(chǎn)型企業(yè)，其網(wǎng)絡(luò)安全部署圖具體如圖1所示。該企業(yè)網(wǎng)絡(luò)安全管理中，采用針對性的安全部署策略，采用安全信息收集與信息綜合的方法實施網(wǎng)絡(luò)安全管理。在網(wǎng)絡(luò)設(shè)備方面，作為網(wǎng)絡(luò)設(shè)備安全的基本防護方法：①對設(shè)備進行合理配置，為設(shè)備所需的必要服務(wù)進行開放，僅運行指定人員的訪問；②該企業(yè)對設(shè)備廠商的漏洞予以高度關(guān)注，對網(wǎng)絡(luò)設(shè)備補丁進行及時安裝；③全部網(wǎng)絡(luò)設(shè)備的密碼會定期更換，并且密碼具有一定的復(fù)雜程度，其破解存在一定難度；④該企業(yè)對設(shè)備維護有著高度重視，采取合理方法，為網(wǎng)絡(luò)設(shè)備運營的穩(wěn)定性提供了強有力的保障。在企業(yè)數(shù)據(jù)方面，對于企業(yè)而言，網(wǎng)絡(luò)安全的實施主要是為了病毒威脅的預(yù)防，以及數(shù)據(jù)安全的保護。作為企業(yè)核心內(nèi)容之一，尤其是對于高科技企業(yè)而言，數(shù)據(jù)的重要性不言而喻。為此，企業(yè)內(nèi)部對數(shù)據(jù)安全的保護有著高度重視。站在企業(yè)的角度，該企業(yè)安排特定的專業(yè)技術(shù)人員對數(shù)據(jù)進行觀察，為數(shù)據(jù)的有效利用提供強有力的保障。同時，針對于業(yè)務(wù)無關(guān)的人員，該企業(yè)禁止其對數(shù)據(jù)進行查看，具體采用的方法如下：①采用加密方法處理總公司與子公司之間傳輸?shù)臄?shù)據(jù)。現(xiàn)階段，很多大中型企業(yè)在各地區(qū)都設(shè)有分支機構(gòu)，該卷煙廠也不例外，企業(yè)核心信息在公司之間傳輸，為了預(yù)防非法人員查看，其發(fā)送必須采取加密處理。并且，采用Internet進行郵件發(fā)送的方式被嚴令禁止；②為了確保公司內(nèi)部人員對數(shù)據(jù)進行私自復(fù)制并帶出公司的情況得到控制，該企業(yè)構(gòu)建了客戶端軟件系統(tǒng)。該系統(tǒng)不具備U盤、移動硬盤燈功能，無線、藍牙等設(shè)備也無法使用，如此一來，內(nèi)部用戶將數(shù)據(jù)私自帶出的情況就能夠得到有效避免。此外，該企業(yè)針對辦公軟件加密系統(tǒng)進行構(gòu)建，對辦公文檔加以制定，非制定權(quán)限人員不得查看。在內(nèi)部網(wǎng)絡(luò)安全上，為了使外部網(wǎng)絡(luò)入侵得到有效控制，企業(yè)采取了防火墻安裝的方法，然而在網(wǎng)絡(luò)內(nèi)部入侵上，該方法顯然無法應(yīng)對。因此，該企業(yè)針對其性質(zhì)進行細致分析，采取了內(nèi)部網(wǎng)絡(luò)安全的應(yīng)對方法。企業(yè)內(nèi)部網(wǎng)絡(luò)可以分為兩種，即辦公網(wǎng)絡(luò)與生產(chǎn)網(wǎng)絡(luò)。前者可以對Internet進行訪問，存在較大安全隱患，而后者則只需將內(nèi)部服務(wù)器進行連接，無需對Internet進行訪問。二者針對防火墻系統(tǒng)隔離進行搭建，使生產(chǎn)網(wǎng)絡(luò)得到最大限度的保護，為公司核心業(yè)務(wù)的運行提供保障。為了使網(wǎng)絡(luò)故障影響得到有效控制，應(yīng)對網(wǎng)絡(luò)區(qū)域進行劃分，可以對VLAN加以利用，隔離不同的網(wǎng)絡(luò)區(qū)域，并在其中進行安全策略的設(shè)置，使區(qū)域間影響得到分隔，確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面，該企業(yè)具有較多客戶端，大部分都屬于windows操作系統(tǒng)，其逐一管理難度打，因此企業(yè)內(nèi)部采用Windows組側(cè)策略對客戶端進行管理。在生產(chǎn)使用的客戶端上，作業(yè)人員的操作相對簡單，只需要利用嚴格的限制手段，就可以實現(xiàn)對客戶端的安全管理。

參考文獻

[1]崔小龍.論網(wǎng)絡(luò)安全中計算機信息管理技術(shù)的應(yīng)用[J].計算機光盤軟件與應(yīng)用，2014（20）：181~182.

[2]何曉冬.淺談計算機信息管理技術(shù)在網(wǎng)絡(luò)安全中的應(yīng)用[J].長春教育學(xué)院學(xué)報，2015（11）：61~62.

篇（5）

網(wǎng)絡(luò)安全態(tài)勢評估與態(tài)勢評測技術(shù)的研究在國外發(fā)展較早，最早的態(tài)勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內(nèi)，對周邊的環(huán)境進行感知，從而對事物的發(fā)展方向進行評測。我國對于網(wǎng)絡(luò)安全事件關(guān)聯(lián)細分與態(tài)勢評測技術(shù)起步較晚，但是國內(nèi)的高校和科研機構(gòu)都積極參與，并取得了不錯的成果。哈爾濱工業(yè)大學(xué)的教授建立了基于異質(zhì)多傳感器融合的網(wǎng)絡(luò)安全態(tài)勢感知模型，并采用灰色理論，對各個關(guān)鍵性能指標(biāo)的變化進行關(guān)聯(lián)分析，從而對網(wǎng)絡(luò)系統(tǒng)態(tài)勢變化進行綜合評估。中國科技大學(xué)等人提出基于日志審計與性能修正算法的網(wǎng)絡(luò)安全態(tài)勢評估模型，國防科技大學(xué)也提出大規(guī)模網(wǎng)絡(luò)安全態(tài)勢評估模型。這些都預(yù)示著，我國的網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析與態(tài)勢評測技術(shù)研究有了一個新的進步，無論是大規(guī)模網(wǎng)絡(luò)還是態(tài)勢感知，都可以做到快速反應(yīng)，提高網(wǎng)絡(luò)防御能力與應(yīng)急響應(yīng)處理能力，有著極高的實用價值[1]。

2網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)概述

近年來，網(wǎng)絡(luò)安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網(wǎng)絡(luò)的運行安全。社會各界也對其極為重視，并采用相應(yīng)技術(shù)來保障網(wǎng)絡(luò)系統(tǒng)的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設(shè)備功能單一，是獨立的個體，不能協(xié)同工作。這樣直接導(dǎo)致安全事件中的事件冗余，系統(tǒng)反應(yīng)慢，重復(fù)報警等情況越來越嚴重。加上網(wǎng)絡(luò)規(guī)模的逐漸增加，數(shù)據(jù)報警信息又多，管理員很難一一進行處理，這樣就導(dǎo)致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發(fā)現(xiàn)。在實際操作中，安全事件是存在關(guān)聯(lián)關(guān)系，不是孤立產(chǎn)生的。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析就是通過對各個事件之間進行有效的關(guān)聯(lián)，從而將原來的網(wǎng)絡(luò)安全事件數(shù)據(jù)進行處理，通過過濾、發(fā)掘等數(shù)據(jù)事件之間的關(guān)聯(lián)關(guān)系，才能為網(wǎng)絡(luò)管理人員提供更為可靠、有價值的數(shù)據(jù)信息。近年來，社會各界對于網(wǎng)絡(luò)安全事件的關(guān)聯(lián)分析更為重視，已經(jīng)成為網(wǎng)絡(luò)安全研究中必要的一部分，并取得了相應(yīng)的成果。在一定程度上，縮減網(wǎng)絡(luò)安全事件的數(shù)量，為網(wǎng)絡(luò)安全態(tài)勢評估提供有效的數(shù)據(jù)支持。2.1網(wǎng)絡(luò)安全數(shù)據(jù)的預(yù)處理。由于網(wǎng)絡(luò)復(fù)雜多樣，在進行安全數(shù)據(jù)的采集中，采集到的數(shù)據(jù)形式也是多種多樣，格式復(fù)雜，并且存在大量的冗余信息。使用這樣的數(shù)據(jù)進行網(wǎng)絡(luò)安全態(tài)勢的分析，自然不會取得很有價值的結(jié)果。為了提高數(shù)據(jù)分析的準確性，就必須提高數(shù)據(jù)質(zhì)量，因此就要求對采集到的原始數(shù)據(jù)進行預(yù)處理。常用的數(shù)據(jù)預(yù)處理方式分為3種：（1）數(shù)據(jù)清洗。將殘缺的數(shù)據(jù)進行填充，對噪聲數(shù)據(jù)進行降噪處理，當(dāng)數(shù)據(jù)不一致的時候，要進行糾錯。（2）數(shù)據(jù)集成。網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜，安全信息的來源也復(fù)雜，這就需要對采集到的數(shù)據(jù)進行集成處理，使它們的結(jié)構(gòu)保持一致，并且將其存儲在相同的數(shù)據(jù)系統(tǒng)中。（3）將數(shù)據(jù)進行規(guī)范變化。2.2網(wǎng)絡(luò)安全態(tài)勢指標(biāo)提取。構(gòu)建合理的安全態(tài)勢指標(biāo)體系是對網(wǎng)絡(luò)安全態(tài)勢進行合理評估和預(yù)測的必要條件。采用不同的算法和模型，對權(quán)值評估可以產(chǎn)生不同的評估結(jié)果。網(wǎng)絡(luò)的復(fù)雜性，使得數(shù)據(jù)采集復(fù)雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導(dǎo)致在關(guān)聯(lián)分析時，耗時耗力，而且得不出理想的結(jié)果。這就需要一個合理的指標(biāo)體系對網(wǎng)絡(luò)狀態(tài)進行分析處理，發(fā)現(xiàn)真正的攻擊，提高評估和預(yù)測的準確性。想要提高對網(wǎng)絡(luò)安全狀態(tài)的評估和預(yù)測，就需要對數(shù)據(jù)信息進行充分了解，剔除冗余，找出所需要的信息，提高態(tài)勢分析效率，減輕系統(tǒng)負擔(dān)。在進行網(wǎng)絡(luò)安全要素指標(biāo)的提取時要統(tǒng)籌考慮，數(shù)據(jù)指標(biāo)要全面而非單一，指標(biāo)的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析。網(wǎng)絡(luò)數(shù)據(jù)具有不確定性、不完整性、變異性和模糊性的特點，就導(dǎo)致事件的冗余，不利于事件關(guān)聯(lián)分析，而且數(shù)據(jù)量極大，事件繁多，網(wǎng)絡(luò)管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數(shù)據(jù)預(yù)處理。在進行數(shù)據(jù)預(yù)處理時要統(tǒng)籌考慮，分析網(wǎng)絡(luò)安全事件的關(guān)聯(lián)性，并對其類似的進行合并，減少重復(fù)報警概率，從而提高網(wǎng)絡(luò)安全狀態(tài)評估的有效性。常見的關(guān)聯(lián)辦法有因果關(guān)聯(lián)、屬性關(guān)聯(lián)等。

3網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)概述

網(wǎng)絡(luò)安全態(tài)勢是一個全局的概念，是指在網(wǎng)絡(luò)運行中，對引起網(wǎng)絡(luò)安全態(tài)勢發(fā)生變化的網(wǎng)絡(luò)狀態(tài)信息進行采集，并對其進行分析、理解、處理以及評測的一個發(fā)展趨勢。網(wǎng)絡(luò)安全態(tài)勢是網(wǎng)絡(luò)運行狀態(tài)的一個折射，根據(jù)網(wǎng)絡(luò)的歷史狀態(tài)等可以預(yù)測網(wǎng)絡(luò)的未來狀態(tài)。網(wǎng)絡(luò)態(tài)勢分析的數(shù)據(jù)有網(wǎng)絡(luò)設(shè)備、日志文件、監(jiān)控軟件等。通過這些信息對其關(guān)聯(lián)分析，可以及時了解網(wǎng)絡(luò)的運行狀態(tài)。網(wǎng)絡(luò)安全態(tài)勢技術(shù)分析首先要對網(wǎng)絡(luò)環(huán)境進行檢測，然而影響網(wǎng)絡(luò)安全的環(huán)境很是復(fù)雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關(guān)聯(lián)分析和態(tài)勢評測，從而對未來的網(wǎng)絡(luò)安全態(tài)勢進行預(yù)測。3.1網(wǎng)絡(luò)安全態(tài)勢分析。網(wǎng)絡(luò)安全態(tài)勢技術(shù)研究分為態(tài)勢獲取、理解、評估、預(yù)測。態(tài)勢的獲取是指收集網(wǎng)絡(luò)環(huán)境中的信息，這些數(shù)據(jù)信息是態(tài)勢預(yù)測的前提。并且將采集到的數(shù)據(jù)進行分析，理解他們之間的相關(guān)性，并依據(jù)確定的指標(biāo)體系，進行定量分析，尋找其中的問題，提出相應(yīng)的解決辦法。態(tài)勢預(yù)測就是根據(jù)獲取的信息進行整理、分析、理解，從而來預(yù)測事物的未來發(fā)展趨勢，這也是網(wǎng)絡(luò)態(tài)勢評測技術(shù)的最終目的。只有充分了解網(wǎng)絡(luò)安全事件關(guān)聯(lián)與未來的發(fā)展趨勢，才能對復(fù)雜的網(wǎng)絡(luò)環(huán)境存在的安全問題進行預(yù)防，最大程度保證網(wǎng)絡(luò)的安全運行。3.2網(wǎng)絡(luò)安全態(tài)勢評測模型。網(wǎng)絡(luò)安全態(tài)勢評測離不開網(wǎng)絡(luò)安全態(tài)勢評測模型，不同的需求會有不同的結(jié)果。網(wǎng)絡(luò)安全態(tài)勢評測技術(shù)具備較強的主觀性，而且復(fù)雜多樣。對于網(wǎng)絡(luò)管理員來說，他們注意的是網(wǎng)絡(luò)的運行狀態(tài)，因此在評測的時候，主要針對網(wǎng)絡(luò)入侵和漏洞識別。對于銀行系統(tǒng)來說，數(shù)據(jù)是最重要的，對于軍事部門，保密是第一位的。因此網(wǎng)絡(luò)安全狀態(tài)不能采用單一的模型，要根據(jù)用戶的需求來選取合適的需求。現(xiàn)在也有多種態(tài)勢評測模型，比如應(yīng)用在入侵檢測的Bass。3.3網(wǎng)絡(luò)安全態(tài)勢評估與預(yù)測。網(wǎng)絡(luò)安全態(tài)勢評估主要是對網(wǎng)絡(luò)的安全狀態(tài)進行綜合評估，使網(wǎng)絡(luò)管理者可以根據(jù)評估數(shù)據(jù)有目標(biāo)地進行預(yù)防和保護操作，最常用的態(tài)勢評估方法是神經(jīng)網(wǎng)絡(luò)、模糊推理等。網(wǎng)絡(luò)安全態(tài)勢預(yù)測的主要問題是主動防護，對危害信息進行阻攔，預(yù)測將來可能受到的網(wǎng)絡(luò)危害，并提出相應(yīng)對策。目前常用的預(yù)測技術(shù)有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據(jù)自身的拓撲結(jié)構(gòu)，又可以分為兩類：沒有反饋的前饋網(wǎng)絡(luò)和變換狀態(tài)進行信息處理的反饋網(wǎng)絡(luò)。其中BP網(wǎng)絡(luò)就屬于前者，而Elman神經(jīng)網(wǎng)絡(luò)屬于后者[3]。

4網(wǎng)絡(luò)安全事件特征提取和關(guān)聯(lián)分析研究

在構(gòu)建網(wǎng)絡(luò)安全態(tài)勢指標(biāo)體系時，要遵循全面、客觀和易操作的原則。在對網(wǎng)絡(luò)安全事件特征提取時，要找出最能反映安全態(tài)勢的指標(biāo)，對網(wǎng)絡(luò)安全態(tài)勢進行分析預(yù)測。網(wǎng)絡(luò)安全事件可以從網(wǎng)絡(luò)威脅性信息中選取，通過端口掃描、監(jiān)聽等方式進行數(shù)據(jù)采集。并利用現(xiàn)有的軟件進行掃描，采集網(wǎng)絡(luò)流量信息，找出流量的異常變化，從而發(fā)現(xiàn)網(wǎng)絡(luò)潛在的威脅。其次就是利用簡單網(wǎng)絡(luò)管理協(xié)議（SimpleNetworkManagementProtocol，SNMP）來進行網(wǎng)絡(luò)和主機狀態(tài)信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務(wù)狀態(tài)信息、鏈路狀態(tài)信息和資源配置信息等[4]。

5結(jié)語

近年來，隨著科技的快速發(fā)展，互聯(lián)網(wǎng)技術(shù)得到了一個質(zhì)的飛躍。互聯(lián)網(wǎng)滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應(yīng)用，使得網(wǎng)絡(luò)的規(guī)模也逐漸增大，互聯(lián)網(wǎng)進入了大數(shù)據(jù)時代。數(shù)據(jù)信息的重要性與日俱增，同時網(wǎng)絡(luò)安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網(wǎng)絡(luò)的正常運行，威脅信息的安全，從而影響著社會的和諧穩(wěn)定。因此，網(wǎng)絡(luò)管理人員對當(dāng)前技術(shù)進行深入的研究，及時掌控技術(shù)的局面，并對未來的發(fā)展作出正確的預(yù)測是非常有必要的。

作者:李勝軍 單位:吉林省經(jīng)濟管理干部學(xué)院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關(guān)聯(lián)分析的網(wǎng)絡(luò)可生存性態(tài)勢評估研究[J].小型微型計算機系統(tǒng)，2006（10）：1861-1864.

篇（6）

網(wǎng)絡(luò)安全態(tài)勢感知在安全告警事件的基礎(chǔ)上提供統(tǒng)一的網(wǎng)絡(luò)安全高層視圖，使安全管理員能夠快速準確地把握網(wǎng)絡(luò)當(dāng)前的安全狀態(tài)，并以此為依據(jù)采取相應(yīng)的措施。實現(xiàn)網(wǎng)絡(luò)安全態(tài)勢感知，需要在廣域網(wǎng)環(huán)境中部署大量的、多種類型的安全傳感器，來監(jiān)測目標(biāo)網(wǎng)絡(luò)系統(tǒng)的安全狀態(tài)。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規(guī)模、速度、危害性等，準確地描述網(wǎng)絡(luò)的安全狀態(tài)，并通過可視化手段顯示給安全管理員，從而支持對安全態(tài)勢的全局理解和及時做出正確的響應(yīng)。

1.網(wǎng)絡(luò)安全態(tài)勢建模

安全態(tài)勢建模的主要目的是構(gòu)建適應(yīng)于度量網(wǎng)絡(luò)安全態(tài)勢的數(shù)據(jù)模型，以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態(tài)勢建模的數(shù)據(jù)源主要是分布式異構(gòu)傳感器采集的各種安全告警事件。網(wǎng)絡(luò)安全態(tài)勢建模過程是由多個階段組成的。在初始的預(yù)處理階段，通過告警事件的規(guī)格化，將收到的所有安全事件轉(zhuǎn)化為能夠被數(shù)據(jù)處理模塊理解的標(biāo)準格式。這些告警事件可能來自不同的傳感器，并且告警事件的格式各異，例如IDS的事件、防火墻日志、主機系統(tǒng)日志等。規(guī)格化的作用是將傳感器事件的相關(guān)屬性轉(zhuǎn)換為一個統(tǒng)一的格式。我們針對不同的傳感器提供不同的預(yù)處理組件，將特定傳感器的信息轉(zhuǎn)換為預(yù)定義的態(tài)勢信息模型屬性值。根據(jù)該模型，針對每個原始告警事件進行預(yù)處理，將其轉(zhuǎn)換為標(biāo)準的格式，各個屬性域被賦予適當(dāng)?shù)闹怠Ｔ趹B(tài)勢數(shù)據(jù)處理階段，將規(guī)格化的傳感器告警事件作為輸入，并進行告警事件的精簡、過濾和融合處理。其中，事件精簡的目標(biāo)是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中，IDS可能對各端口的每個掃描包產(chǎn)生檢測事件，通過維護一定時間窗口內(nèi)的事件流，對同一來源、同一目標(biāo)主機的同類事件進行合并，以大大減少事件數(shù)量。事件過濾的目標(biāo)是刪除不滿足約束要求的事件，這些約束要求是根據(jù)安全態(tài)勢感知的需要以屬性或者規(guī)則的形式存儲在知識庫中。例如，將關(guān)鍵屬性空缺或不滿足要求范圍的事件除去，因為這些事件不具備態(tài)勢分析的意義。另外，通過對事件進行簡單的確認，可以區(qū)分成功攻擊和無效攻擊企圖。在事件的過濾處理時，無效攻擊企圖并不被簡單地丟棄，而是標(biāo)記為無關(guān)事件，因為即使是無效攻擊也代表著惡意企圖，對最終的全局安全狀態(tài)會產(chǎn)生某種影響。通過精簡和過濾，重復(fù)的安全事件被合并，事件數(shù)量大大減少而抽象程度增加，同時其中蘊含的態(tài)勢信息得到了保留。事件融合功能是基于D-S證據(jù)理論提供的，其通過將來自不同傳感器的、經(jīng)過預(yù)處理、精簡和過濾的事件引入不同等級的置信度，融合多個屬性對網(wǎng)絡(luò)告警事件進行量化評判，從而有效降低安全告警事件的誤報率和漏報率，并且可以為網(wǎng)絡(luò)安全態(tài)勢的分析、推理和生成提供支持。

2.網(wǎng)絡(luò)安全態(tài)勢生成

2.1知識發(fā)現(xiàn)的關(guān)聯(lián)規(guī)則提取

用于知識發(fā)現(xiàn)的數(shù)據(jù)來源主要有兩個：模擬攻擊產(chǎn)生的安全告警事件集和歷史安全告警事件集。知識發(fā)現(xiàn)就是在這樣的告警事件集上發(fā)現(xiàn)和抽取出態(tài)勢關(guān)聯(lián)所需要的知識。由于安全報警事件的復(fù)雜性，這個過程難以完全依賴于人工來完成。可以通過知識發(fā)現(xiàn)的方法，針對安全告警事件集進行模式挖掘、模式分析和學(xué)習(xí)，以實現(xiàn)安全態(tài)勢關(guān)聯(lián)規(guī)則的提取。

2.2安全告警事件精簡和過濾

通過實驗觀察發(fā)現(xiàn)，安全傳感器的原始告警事件集中存在大量無意義的頻繁模式，而且這些頻繁模式大多是與系統(tǒng)正常訪問或者配置問題相關(guān)的。如果直接在這樣的原始入侵事件集上進行知識發(fā)現(xiàn)，必然產(chǎn)生很多無意義的知識。因此，需要以D-S證據(jù)理論為基礎(chǔ)建立告警事件篩選機制，根據(jù)告警事件的置信度進行程序的統(tǒng)計分析。首先，利用程序自動統(tǒng)計各類安全事件的分布情況。然后，利用D-S證據(jù)理論，通過精簡和過濾規(guī)則評判各類告警事件的重要性，來刪除無意義的事件。

2.3安全態(tài)勢關(guān)聯(lián)規(guī)則提取

在知識發(fā)現(xiàn)過程中發(fā)現(xiàn)的知識，通過加入關(guān)聯(lián)動作轉(zhuǎn)化為安全態(tài)勢的關(guān)聯(lián)規(guī)則，用于網(wǎng)絡(luò)安全態(tài)勢的在線關(guān)聯(lián)分析。首先，分析FP-Tree算法所挖掘的安全告警事件屬性間的強關(guān)聯(lián)規(guī)則，如果該規(guī)則所揭示的規(guī)律與某種正常訪問相關(guān)，則將其加入刪除動作，并轉(zhuǎn)化成安全告警事件的過濾規(guī)則。接著，分析Winepi算法所挖掘的安全告警事件間的序列關(guān)系。如果這種序列關(guān)系與某種類型的攻擊相關(guān)，形成攻擊事件的組合規(guī)則，則增加新的安全攻擊事件。最后，將形成的關(guān)聯(lián)規(guī)則轉(zhuǎn)化成形式化的規(guī)則編碼，加入在線關(guān)聯(lián)知識庫。

3.網(wǎng)絡(luò)安全態(tài)勢生成算法

網(wǎng)絡(luò)安全態(tài)勢就是被監(jiān)察的網(wǎng)絡(luò)區(qū)域在一定時間窗口內(nèi)遭受攻擊的分布情況及其對安全目標(biāo)的影響程度。網(wǎng)絡(luò)安全態(tài)勢信息與時間變化、空間分布均有關(guān)系，對于單個節(jié)點主要表現(xiàn)為攻擊指數(shù)和資源影響度隨時間的變化，對于整個網(wǎng)絡(luò)區(qū)域則還表現(xiàn)為攻擊焦點的分布變化。對于某一時刻網(wǎng)絡(luò)安全態(tài)勢的計算，必須考慮一個特定的評估時間窗口T，針對落在時間窗口內(nèi)的所有事件進行風(fēng)險值的計算和累加。隨著時間的推移，一些告警事件逐漸移出窗口，而新的告警事件則進入窗口。告警事件發(fā)生的頻度反映了安全威脅的程度。告警事件頻發(fā)時，網(wǎng)絡(luò)系統(tǒng)的風(fēng)險值迅速地累積增加；而當(dāng)告警事件不再頻發(fā)時，風(fēng)險值則逐漸地降低。首先，需要根據(jù)融合后的告警事件計算網(wǎng)絡(luò)節(jié)點的風(fēng)險等級。主要考慮以下因素：告警置信度c、告警嚴重等級s、資源影響度m。其中，告警可信度通過初始定義和融合計算后產(chǎn)生；告警嚴重等級被預(yù)先指定，包含在告警信息中；資源影響度則是指攻擊事件對其目標(biāo)的具體影響程度，不同攻擊類別對不同資源造成的影響程度不同，與具體配置、承擔(dān)的業(yè)務(wù)等有關(guān)。此外，還應(yīng)考慮節(jié)點的安全防護等級Pn、告警恢復(fù)系數(shù)Rn等因素。

4.結(jié)束語

本文提出了一個基于知識發(fā)現(xiàn)的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架。在該框架的基礎(chǔ)上設(shè)計并實現(xiàn)了網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)，系統(tǒng)支持網(wǎng)絡(luò)安全態(tài)勢的準確建模和高效生成。實驗表明本系統(tǒng)具有統(tǒng)一的網(wǎng)絡(luò)安全態(tài)勢建模和生成框架；準確構(gòu)建網(wǎng)絡(luò)安全態(tài)勢度量的形式模型；通過知識發(fā)現(xiàn)方法，有效簡化告警事件庫，挖掘頻繁模式和序列模式并轉(zhuǎn)化為態(tài)勢關(guān)聯(lián)規(guī)則。

篇（7）

0　引言

對電力企業(yè)信息內(nèi)網(wǎng)海量安全事件進行高效、準確的關(guān)聯(lián)分析是實現(xiàn)電力企業(yè)網(wǎng)絡(luò)安全設(shè)備聯(lián)動的前提，而如何設(shè)計與實現(xiàn)一個高效的電力企業(yè)安全事件關(guān)聯(lián)分析引擎正是電力企業(yè)信息內(nèi)網(wǎng)安全事件關(guān)聯(lián)分析應(yīng)該解決的關(guān)鍵問題。

1　安全事件關(guān)聯(lián)分析研究現(xiàn)狀及存在的問題

關(guān)聯(lián)分析在網(wǎng)絡(luò)安全領(lǐng)域中是指對網(wǎng)絡(luò)全局的安全事件數(shù)據(jù)進行自動、連續(xù)分析，通過與用戶定義的、可配置的規(guī)則匹配來識別網(wǎng)絡(luò)潛在的威脅和復(fù)雜的攻擊模式，從而發(fā)現(xiàn)真正的安全風(fēng)險，達到對當(dāng)前安全態(tài)勢的準確、實時評估，并根據(jù)預(yù)先制定策略做出快速的響應(yīng)，以方便管理人員全面監(jiān)控網(wǎng)絡(luò)安全狀況的技術(shù)。關(guān)聯(lián)分析可以提高網(wǎng)絡(luò)安全防護效率和防御能力，并為安全管理和應(yīng)急響應(yīng)提供重要的技術(shù)支持。關(guān)聯(lián)分析主要解決以下幾個問題：

1）為避免產(chǎn)生虛警，將單個報警事件與可能的安全場景聯(lián)系起來；

2）為避免重復(fù)報警，對相同、相近的報警事件進行處理；

3）為達到識別有計劃攻擊的目的，增加攻擊檢測率，對深層次、復(fù)雜的攻擊行為進行挖掘；

4）提高分析的實時性，以便于及時進行響應(yīng)。

2　安全事件關(guān)聯(lián)分析引擎的設(shè)計

安全事件關(guān)聯(lián)分析方法包括離線分析和在線分析兩種。離線分析是在事件發(fā)生后通過對日志信息的提取和分析，再現(xiàn)入侵過程，為入侵提供證據(jù)，其優(yōu)點是對系統(tǒng)性能要求不高，但是實時性比較低，不能在入侵的第一時間做出響應(yīng)。在線分析是對安全事件進行實時分析，雖然其對系統(tǒng)性能要求比較高，但是可以實時發(fā)現(xiàn)攻擊行為并實現(xiàn)及時響應(yīng)。由于電力工業(yè)的特點決定了電力企業(yè)信息內(nèi)網(wǎng)安全不僅具有一般企業(yè)內(nèi)網(wǎng)安全的特征，而且還關(guān)系到電力實時運行控制系統(tǒng)信息的安全，所以對電力企業(yè)安全事件的關(guān)聯(lián)分析必須是實時在線的，本文所研究的安全事件關(guān)聯(lián)分析引擎是一個進行在線分析的引擎。

2.1　安全事件關(guān)聯(lián)分析系統(tǒng)

安全事件管理系統(tǒng)是國家電網(wǎng)網(wǎng)絡(luò)安全設(shè)備聯(lián)運系統(tǒng)的一個子系統(tǒng)，它是將安全事件作為研究對象，實現(xiàn)對安全事件的統(tǒng)一分析和處理，包括安全事件的采集、預(yù)處理、關(guān)聯(lián)分析以及關(guān)聯(lián)結(jié)果的實時反饋。

內(nèi)網(wǎng)設(shè)備：內(nèi)網(wǎng)設(shè)備主要是電力企業(yè)信息內(nèi)網(wǎng)中需要被管理的對象，包括防病毒服務(wù)器、郵件內(nèi)容審計系統(tǒng)、IDS、路由器等安全設(shè)備和網(wǎng)絡(luò)設(shè)備。通過端收集這些設(shè)備產(chǎn)生的安全事件，經(jīng)過預(yù)處理后發(fā)送到關(guān)聯(lián)分析模塊進行關(guān)聯(lián)分析。

事件采集端：主要負責(zé)收集和處理事件信息。收集數(shù)據(jù)是通過Syslog、SNMP　trap、JDBC、ODBC協(xié)議主動的與內(nèi)網(wǎng)設(shè)備進行通信，收集安全事件或日志信息。由于不同的安全設(shè)備對同一條事件可能產(chǎn)生相同的事件日志，而且格式各異，這就需要在端將數(shù)據(jù)發(fā)送給服務(wù)器端前對這些事件進行一些預(yù)處理，包括安全事件格式的規(guī)范化，事件過濾、以及事件的歸并。

關(guān)聯(lián)分析：其功能包括安全事件頻繁模式挖掘、關(guān)聯(lián)規(guī)則生成以及模式匹配。關(guān)聯(lián)分析方法主要是先利用數(shù)據(jù)流頻繁模式挖掘算法挖掘出頻繁模式，再用多模式匹配算法與預(yù)先設(shè)定的關(guān)聯(lián)規(guī)則進行匹配，產(chǎn)生報警響應(yīng)。

控制臺：主要由風(fēng)險評估、資產(chǎn)管理、報表管理和應(yīng)急響應(yīng)中心組成。風(fēng)險評估主要是通過對日志事件的審計以及關(guān)聯(lián)分析結(jié)果，對企業(yè)網(wǎng)絡(luò)設(shè)備及業(yè)務(wù)系統(tǒng)的風(fēng)險狀態(tài)進行評估。應(yīng)急響應(yīng)中心是根據(jù)結(jié)合電力企業(yè)的特點所制定的安全策略，對于不同的報警進行不同的響應(yīng)操作。資產(chǎn)管理與報表管理分別完成對電力企業(yè)業(yè)務(wù)系統(tǒng)資產(chǎn)的管理和安全事件的審計查看等功能。另外，對于關(guān)聯(lián)分析模塊匹配規(guī)則、端過濾規(guī)則等的制定和下發(fā)等也在控制成。

數(shù)據(jù)庫：數(shù)據(jù)庫包括關(guān)聯(lián)規(guī)則庫、策略庫和安全事件數(shù)據(jù)庫三種。關(guān)聯(lián)規(guī)則庫用來存儲關(guān)聯(lián)分析所必須的關(guān)聯(lián)規(guī)則，策略庫用來存儲策略文件，安全事件數(shù)據(jù)庫用來存儲從端獲取用于關(guān)聯(lián)的數(shù)據(jù)、進行關(guān)聯(lián)的中間數(shù)據(jù)以及關(guān)聯(lián)后結(jié)果的數(shù)據(jù)庫。

2.2　關(guān)聯(lián)分析引擎結(jié)構(gòu)

事件關(guān)聯(lián)分析引擎作為安全事件關(guān)聯(lián)分析系統(tǒng)的核心部分，由事件采集、通信模塊、關(guān)聯(lián)分析模塊和存儲模塊四部分組成。其工作原理為：首先接收安全事件采集發(fā)送來的安全事件，經(jīng)過預(yù)處理后對其進行關(guān)聯(lián)分析，確定安全事件的危害程度，從而進行相應(yīng)響應(yīng)。引擎結(jié)構(gòu)如圖1所示。

2.3　引擎各模塊功能設(shè)計

1）事件采集模塊。事件日志的采集由事件采集來完成。事件采集是整個系統(tǒng)的重要組成部分，它運行于電力企業(yè)內(nèi)網(wǎng)中各種安全設(shè)備、網(wǎng)絡(luò)設(shè)備和系統(tǒng)終端上，包括采集模塊、解析模塊和通信模塊三個部分。它首先利用Syslog、trap、JDBC、ODBC協(xié)議從不同安全設(shè)備、系統(tǒng)中采集各種安全事件數(shù)據(jù)，由解析模塊進行數(shù)據(jù)的預(yù)處理，然后由通信模塊發(fā)送到關(guān)聯(lián)分析引擎。

2）事件預(yù)處理。由于日志數(shù)據(jù)來源于交換機、路由器、防火墻、網(wǎng)絡(luò)操作系統(tǒng)、單機操作系統(tǒng)、防病毒軟件以及各類網(wǎng)絡(luò)管理軟件，可能包含噪聲數(shù)據(jù)、空缺數(shù)據(jù)和不一致數(shù)據(jù)，這將嚴重影響數(shù)據(jù)分析結(jié)果的正確性。而通過數(shù)據(jù)預(yù)處理，則可以解決這個問題，達到數(shù)據(jù)類型相同化、數(shù)據(jù)格式一致化、數(shù)據(jù)信息精練化的目的。

事件預(yù)處理仍在事件采集中完成，主要包括事件過濾、事件范化和事件歸并三部分。

3）事件關(guān)聯(lián)分析模塊。事件的屬性包括：事件分類、事件嚴重等級、事件源地址、源端口、目的地址、目的端口、協(xié)議、事件發(fā)生時間等，這些屬性在關(guān)聯(lián)分析時需要用到，故把規(guī)則屬性集設(shè)置為：

各字段分別表示：規(guī)則名稱、源IP地址、目的IP地址、源端口號、目的端口號、協(xié)議、設(shè)備編號、事件發(fā)生時間、事件嚴重等級。

該模塊將經(jīng)過處理的海量日志信息數(shù)據(jù)流在內(nèi)存中利用滑動窗口處理模型，經(jīng)過關(guān)聯(lián)分析算法進行關(guān)聯(lián)規(guī)則挖掘后，采用高效的模式匹配算法將得到的關(guān)聯(lián)規(guī)則與規(guī)則庫中預(yù)先設(shè)定的規(guī)則進行不斷的匹配，以便實時地發(fā)現(xiàn)異常行為，為后續(xù)告警響應(yīng)及安全風(fēng)險分析等提供依據(jù)。

3　結(jié)束語

本文首先基于引擎的設(shè)計背景介紹了引擎的總體結(jié)構(gòu)以及關(guān)聯(lián)分析流程，然后分別給出了事件采集、事件關(guān)聯(lián)分析模塊的設(shè)計方案，包括模塊功能、模塊結(jié)構(gòu)以及規(guī)則庫的設(shè)計方案。

參考文獻：

篇（8）

中圖分類號：TP393文獻標(biāo)識碼：A文章編號：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網(wǎng)絡(luò)安全形勢分析

2007年，我國公共互聯(lián)網(wǎng)網(wǎng)絡(luò)整體上運行基本正常，但從CNCERT/CC接收和監(jiān)測的各類網(wǎng)絡(luò)安全事件情況可以看出，網(wǎng)絡(luò)信息系統(tǒng)存在的安全漏洞和隱患層出不窮，利益驅(qū)使下的地下黑客產(chǎn)業(yè)繼續(xù)發(fā)展，網(wǎng)絡(luò)攻擊的種類和數(shù)量成倍增長，終端用戶和互聯(lián)網(wǎng)企業(yè)是主要的受害者，基礎(chǔ)網(wǎng)絡(luò)和重要信息系統(tǒng)面臨著嚴峻的安全威脅。在地下黑色產(chǎn)業(yè)鏈的推動下，網(wǎng)絡(luò)犯罪行為趨利性表現(xiàn)更加明顯，追求經(jīng)濟利益依然是主要目標(biāo)。黑客往往利用仿冒網(wǎng)站、偽造郵件、盜號木馬、后門病毒等，并結(jié)合社會工程學(xué)，竊取大量用戶數(shù)據(jù)牟取暴利，包括網(wǎng)游賬號、網(wǎng)銀賬號和密碼、網(wǎng)銀數(shù)字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環(huán)節(jié)的流水作業(yè)構(gòu)成了完善的地下黑色產(chǎn)業(yè)鏈條，為各種網(wǎng)絡(luò)犯罪行為帶來了利益驅(qū)動，加之黑客攻擊手法更具隱蔽性，使得對這些網(wǎng)絡(luò)犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網(wǎng)絡(luò)安全調(diào)查數(shù)據(jù)來看，網(wǎng)絡(luò)的安全威脅主要來自三個方面：第一、網(wǎng)絡(luò)的惡意破壞者，也就是我們所說的黑客，造成的正常網(wǎng)絡(luò)服務(wù)的不可用、系統(tǒng)/數(shù)據(jù)的破壞；第二、無辜的內(nèi)部人員造成的網(wǎng)絡(luò)數(shù)據(jù)的破壞、網(wǎng)絡(luò)病毒的蔓延擴散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進行越權(quán)數(shù)據(jù)訪問，以及偷取機密的或者他人的私密信息。其中，由于內(nèi)部人員而造成的網(wǎng)絡(luò)安全問題占到了70% 。

縱觀高校校園網(wǎng)安全現(xiàn)狀，我們會發(fā)現(xiàn)同樣符合上面的規(guī)律，即安全主要來自這三方面。而其中，來自校園網(wǎng)內(nèi)部的安全事件占到了絕大多數(shù)。這與校園網(wǎng)的用戶是息息相關(guān)的。一方面，高校學(xué)生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責(zé)任感。同時網(wǎng)絡(luò)也使得黑客工具等的獲取更加的輕松。另一方面，校園網(wǎng)內(nèi)卻又存在著很多這樣的用戶，他們使用網(wǎng)絡(luò)來獲取資料，在網(wǎng)絡(luò)上辦公、娛樂，但是安全意識卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網(wǎng)絡(luò)管理者會發(fā)現(xiàn)，還面臨這其他一些挑戰(zhàn)，比如：

1) 用戶可以在隨意接入網(wǎng)絡(luò)，出現(xiàn)安全問題后無法追查到用戶身份；

2) 網(wǎng)絡(luò)病毒泛濫，網(wǎng)絡(luò)攻擊成上升趨勢。安全事件從發(fā)現(xiàn)到控制，基本采取手工方式，難以及時控制與防范；

3) 對于未知的安全事件和網(wǎng)絡(luò)病毒，無法控制；

4) 用戶普遍安全意識不足，校方單方面的安全控制管理，難度大；

5) 現(xiàn)有安全設(shè)備工作分散，無法協(xié)同管理、協(xié)同工作，只能形成單點防御。各種安全設(shè)備管理復(fù)雜，對于網(wǎng)絡(luò)的整體安全性提升有限。

6) 某些安全設(shè)備采取網(wǎng)絡(luò)內(nèi)串行部署的方式，容易造成性能瓶頸和單點故障；

7) 無法對用戶的網(wǎng)絡(luò)行為進行記錄，事后審計困難；

總之，網(wǎng)絡(luò)安全保障已經(jīng)成為各相關(guān)部門的工作重點之一，我國互聯(lián)網(wǎng)的安全態(tài)勢將有所改變。

2 入侵檢測概述

James Aderson在1980年使用了“威脅”概述術(shù)語，其定義與入侵含義相同。將入侵企圖或威脅定義未經(jīng)授權(quán)蓄意嘗試訪問信息、竄改信息、使系統(tǒng)不可靠或不能使用。Heady給出定外的入侵定義，入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統(tǒng)滲透、泄漏、拒絕服務(wù)、惡意使用六種類型。

從技術(shù)上入侵檢測系統(tǒng)可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據(jù)異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征，以區(qū)別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統(tǒng)和應(yīng)用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查同正常行為相違背的行為。

從系統(tǒng)結(jié)構(gòu)上分，入侵檢測系統(tǒng)大致可以分為基于主機型、基于網(wǎng)絡(luò)型和基于主體型三種。

基于主機入侵檢測系統(tǒng)為早期的入侵檢測系統(tǒng)結(jié)構(gòu)、其檢測的目標(biāo)主要是主機系統(tǒng)和系統(tǒng)本地用戶。檢測原理是根據(jù)主機的審計數(shù)據(jù)和系統(tǒng)的日志發(fā)現(xiàn)可疑事件，檢測系統(tǒng)可以運行在被檢測的主機上。這種類型系統(tǒng)依賴于審計數(shù)據(jù)或系統(tǒng)日志準確性和完整性以及安全事件的定義。若入侵者設(shè)法逃避設(shè)計或進行合作入侵，則基于主機檢測系統(tǒng)就暴露出其弱點，特別是在現(xiàn)在的網(wǎng)絡(luò)環(huán)境下。單獨地依靠主機設(shè)計信息進行入侵檢測難以適應(yīng)網(wǎng)絡(luò)安全的需求。這主要表現(xiàn)，一是主機的審計信息弱點，如易受攻擊，入侵者可通過通過使用某些系統(tǒng)特權(quán)或調(diào)用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網(wǎng)絡(luò)攻擊（域名欺騙、端口掃描等）。因此，基于網(wǎng)絡(luò)入侵檢測系統(tǒng)對網(wǎng)絡(luò)安全是必要的，這種檢測系統(tǒng)根據(jù)網(wǎng)絡(luò)流量、協(xié)議分析、簡單網(wǎng)絡(luò)管理協(xié)議信息等數(shù)據(jù)檢測入侵。主機和網(wǎng)絡(luò)型的入侵檢測系統(tǒng)是一個統(tǒng)一集中系統(tǒng)，但是，隨著網(wǎng)絡(luò)系統(tǒng)結(jié)構(gòu)復(fù)雜化和大型化，系統(tǒng)的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現(xiàn)出相互協(xié)作入侵特點。入侵檢測系統(tǒng)要求可適應(yīng)性、可訓(xùn)練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協(xié)作檢測。于是，美國普度大學(xué)安全研究小組提出基于主體入侵檢測系統(tǒng)。其主要的方法是采用相互獨立運行的進程組（稱為自治主體）分別負責(zé)檢測，通過訓(xùn)練這些主體，并觀察系統(tǒng)行為，然后將這些主體認為是異常的行為標(biāo)記出來，并將檢測結(jié)果傳送到檢測中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對于入侵檢測系統(tǒng)評估，主要性能指標(biāo)有：

1) 可靠性――系統(tǒng)具有容錯能力和可連續(xù)運行；

2) 可用性――系統(tǒng)開銷要最小，不會嚴重降低網(wǎng)絡(luò)系統(tǒng)性能；

3) 可測試――通過攻擊可以檢測系統(tǒng)運行；

4) 適應(yīng)性――對系統(tǒng)來說必須是易于開發(fā)和添加新的功能，能隨時適應(yīng)系統(tǒng)環(huán)境的改變；

5) 實時性――系統(tǒng)能盡快地察覺入侵企圖以便制止和限制破壞；

6) 準確性――檢測系統(tǒng)具有低的誤警率和漏警率；

7) 安全性――檢測系統(tǒng)必須難于被欺騙和能夠保護自身安全[4]。

3 協(xié)作式入侵檢測系統(tǒng)模型

隨著黑客入侵手段的提高，尤其是分布式、協(xié)同式、復(fù)雜模式攻擊的出現(xiàn)和發(fā)展，傳統(tǒng)、單一、缺乏協(xié)作的入侵檢測技術(shù)已不能滿足需求，要有充分的協(xié)作機制，下面就提出協(xié)作式入侵檢測的基本模型。

3.1 協(xié)作式入侵檢測系統(tǒng)由以下幾個部分組成

1) 安全認證客戶端(SU)。能夠執(zhí)行端點防護功能，并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作，而且還要完成安全策略接收、系統(tǒng)信息收集、安全漏洞上傳，系統(tǒng)補丁接收修復(fù)等大量的工作，對系統(tǒng)的控制能力大大增強。

2) 安全計費服務(wù)器(SMA)。承擔(dān)身份認證過程中的Radius服務(wù)器角色，負責(zé)對網(wǎng)絡(luò)用戶接入、開戶，計費等系統(tǒng)管理工作外，還要負責(zé)與安全管理平臺的聯(lián)動，成為協(xié)作式入侵檢測系統(tǒng)中非常重要的一個環(huán)節(jié)。

3) 安全管理平臺(SMP)。用于制定端點防護策略、網(wǎng)絡(luò)攻擊防護防止規(guī)則，協(xié)調(diào)系統(tǒng)中的其他組件在網(wǎng)絡(luò)資源面臨的安全威脅進行防御，能夠完成事前預(yù)防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續(xù)防護的安全服務(wù)。

4) 安全事件解析器(SEP)。接收處理NIDS發(fā)送過來的網(wǎng)絡(luò)攻擊事件信息，處理后發(fā)送給安全管理平臺，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉(zhuǎn)換成統(tǒng)一的安全管理平臺能處理的格式轉(zhuǎn)發(fā)給安全管理平臺，便于安全管理平臺處理。

5) 入侵檢測系統(tǒng)(IDS)。網(wǎng)絡(luò)入侵檢測設(shè)備，對網(wǎng)絡(luò)流量進行旁路監(jiān)聽，檢測網(wǎng)絡(luò)攻擊事件，并通過SEP向安全管理平臺反饋網(wǎng)絡(luò)攻擊事件，由安全管理平臺處埋這些攻擊事件。一個網(wǎng)絡(luò)中可以布暑多個IDS設(shè)備。

入侵檢測系統(tǒng)由三個部分組成：

1) Sensor探測器，也就是我們常看到的硬件設(shè)備，它的作用是接入網(wǎng)絡(luò)環(huán)境，接收和分析網(wǎng)絡(luò)中的流量。

2) 控制臺：提供GUI管理界面，配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應(yīng)方式、生成并查看關(guān)于安全事件、系統(tǒng)事件的統(tǒng)計報告，控制臺負責(zé)把安全事件信息顯示在控制臺上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負責(zé)從sensor接收數(shù)據(jù)、收集sensor日志信息、負責(zé)把相應(yīng)策略及簽名發(fā)送給sensor、管理用戶權(quán)限、提供對用戶操作的審計，向SEP發(fā)送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。

3.2 協(xié)作式入侵檢測系統(tǒng)中組件間的交互過程

1) SAM和SMP的交互過程

在協(xié)作式入侵檢測系統(tǒng)中，SMP同SAM的關(guān)系就是，SMP連接到SAM。連接成功后，接收SAM發(fā)送的接入用戶上線，下線消息。Su上線，SAM發(fā)送用戶上線消息。Su下線，SAM發(fā)送用戶下線消息。Su重認證，SAM發(fā)送用戶上線消息。

2) JMS相關(guān)原理

SMP同SAM之間的交互是通過JMS（Java Message Service）。SAM啟動JBoss自帶的JMS服務(wù)器，該服務(wù)器用于接收和發(fā)送JMS消息。SAM同時也作為JMS客戶端（消息生產(chǎn)者），負責(zé)產(chǎn)生JMS信息，并且發(fā)送給JMS服務(wù)器，SMP也是JMS客戶端（消息消費者）。目前SAM所實現(xiàn)的JMS服務(wù)器是以“主題”的方式的，即有多少個JMS客戶端到JMS服務(wù)器訂閱JMS消息，JMS服務(wù)器就會發(fā)送給多少個JMS客戶端。當(dāng)然了消息生產(chǎn)者也可以多個。相當(dāng)于JMS服務(wù)器（如SAM）是一個郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時SAM也作為出版商產(chǎn)生雜志。這樣，SAM產(chǎn)生用戶上下線消息，發(fā)送到SAM所在Jboss服務(wù)器的JMS服務(wù)器中，JMS服務(wù)器發(fā)現(xiàn)SMP訂閱了該消息，則發(fā)送該消息給SMP。

在協(xié)作式入侵檢測系統(tǒng)中，SMP就是JMS客戶端，SAM既作為JMS消息生產(chǎn)者，也作為JMS服務(wù)器。當(dāng)SMP啟動時，SMP通過1099端口連接到SAM服務(wù)器，并且進行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯(lián)動成功。當(dāng)用戶通過su上線成功后，SAM根據(jù)JMS的格式，產(chǎn)生一條JMS信息，然后發(fā)送給JMS服務(wù)器，JMS服務(wù)器檢查誰訂閱了它的JMS消息，然后發(fā)送給所有的JMS用戶。

3) SU和SMP的交互過程

間接交互：對于Su上傳的端點防護HI狀態(tài)（成功失敗），HI配置文件更新請求，每個Su請求的響應(yīng)報文，SMP下發(fā)給Su的相關(guān)命令，均通過交換機進行透傳，即上傳的信息都包含再SNMP Trap中，下發(fā)的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中，轉(zhuǎn)發(fā)給SMP。交換機將SMP下發(fā)的SNMP Set報文進行解析，提取出其中包含的EAPOL報文，直接轉(zhuǎn)發(fā)給Su。這樣就實現(xiàn)了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對于一些數(shù)據(jù)量較大的交互，無法使用EAPOL幀進行傳輸（幀長度限制）。因此Su從SMP上面下載HI配置文件（FTP服務(wù)，端口可指定），Su發(fā)送主機信息給SMP的主機信息收集服務(wù)（自定義TCP協(xié)議，端口5256，能夠通過配置文件修改端口），都是由SU和SMP直接進行交互。

4) SMP同交換機之間的交互

交換機發(fā)送SNMP Trap報文給SMP。交換機發(fā)送的SNMP Trap都是用于轉(zhuǎn)發(fā)Su上傳的消息，如果沒有Su，交換機不會發(fā)送任何同GSN方案相關(guān)的Trap給SMP的。

SMP發(fā)送SNMP Get和SNMP Set給交換機：a) 在用戶策略同步時，會先通過SNMP Get報文從交換機獲取交換機的策略情況；b) 安裝刪除策略時，SMP將策略相關(guān)信息發(fā)送SNMP Set報文中，發(fā)送給交換機；c) 對用戶進行重人證，強制下線，獲取HI狀態(tài)，手動獲取主機信息等命令，都是通過SNMP Set發(fā)送給交換機的，然后由交換機解釋后，生成eapol報文，再發(fā)送給su，由su進行實際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測到的攻擊事件后（這個攻擊事件是多種廠商的NIDS設(shè)備通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP的），SEP處理完這些不同廠商發(fā)現(xiàn)不同攻擊事件的信息后，以UDP的方式發(fā)送到SMP中，完成SEP和SMP的交互過程，這是一個單向的過程，也就是說SMP只從SEP中接收數(shù)據(jù)，而不向SEP發(fā)送數(shù)據(jù)。

6) SEP與NIDS交互

首先NIDS檢測到某個IP和MAC主機對網(wǎng)絡(luò)的攻擊事件，并把結(jié)果通過Syslog、UDP、SNMP等報文的形式發(fā)送到SEP（安全事件解析器），安全事件解析器SEP再把這個攻擊事件通過UDP報文轉(zhuǎn)發(fā)到SMP（安全管理平臺）。

3.3 協(xié)作式入侵檢測系統(tǒng)工作原理及數(shù)據(jù)流圖

協(xié)作式入侵檢測系統(tǒng)工作原理：

1) 身份認證――用戶通過安全客戶端進行身份認證，以確定其在該時間段、該地點是否被允許接入網(wǎng)絡(luò)；

2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統(tǒng)提供基于用戶的安全策略實施和查詢；

3) 安全事件檢測――用戶訪問網(wǎng)絡(luò)的流量將會被鏡像給入侵防御系統(tǒng)，該系統(tǒng)將會對用戶的網(wǎng)絡(luò)行為進行檢測和記錄；

4) 安全事件通告――用戶一旦觸發(fā)安全事件，入侵防御系統(tǒng)將自動將其通告給安全策略平臺；

5) 自動告警――安全策略平臺收到用戶的安全事件后，將根據(jù)預(yù)定的策略對用戶進行告警提示；

6) 自動阻斷（隔離）――在告警提示的同時，系統(tǒng)將安全（阻斷、隔離）策略下發(fā)到安全交換機，安全交換機將根據(jù)下發(fā)的策略對用戶數(shù)據(jù)流進行阻斷或?qū)τ脩暨M行隔離；

7) 修復(fù)程序鏈接下發(fā)――被隔離至修復(fù)區(qū)的用戶，將能夠自動接收到系統(tǒng)發(fā)送的相關(guān)修復(fù)程序鏈接；

8) 自動獲取并執(zhí)行修復(fù)程序――安全客戶端收到系統(tǒng)下發(fā)的修復(fù)程序連接后，將自動下載并強制運行，使用戶系統(tǒng)恢復(fù)正常。

協(xié)作式入侵檢測數(shù)據(jù)流圖見圖3。

4 結(jié)束語

由于各高校實力不一、校園網(wǎng)規(guī)模不一，出現(xiàn)了許多問題，其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄，雖然網(wǎng)絡(luò)安全硬件都配備齊全，但關(guān)于網(wǎng)絡(luò)的安全事故卻不斷發(fā)生，使校園網(wǎng)的安全面臨極大的威脅。因此，隨著校園網(wǎng)規(guī)模的不斷擴大，如何確保校園網(wǎng)正常、高效和安全地運行是所有高校都面臨的問題。該文結(jié)合高校現(xiàn)在實際的網(wǎng)絡(luò)環(huán)境，充分利用各種現(xiàn)有設(shè)備，構(gòu)建出協(xié)作式入侵檢測系統(tǒng)，實現(xiàn)了“多兵種協(xié)同作戰(zhàn)” 的全局安全設(shè)計，同時將安全結(jié)構(gòu)覆蓋網(wǎng)絡(luò)傳輸設(shè)備（網(wǎng)絡(luò)交換機、路由器等）和網(wǎng)絡(luò)終端設(shè)備（用戶PC、服務(wù)器等），成為一個全局化的網(wǎng)絡(luò)安全綜合體系。

參考文獻：

[1] CNCERT/CC[P].網(wǎng)絡(luò)安全工作報告,2007.

篇（9）

1.1安全事件管理模塊

1.1.1安全事件收集子模塊

能夠通過多種方式收集各類信息安全設(shè)備發(fā)送的安全事件信息，收集方式包含幾種：(1)基于SNMPTrap和Syslog方式收集事件；(2)通過0DBC數(shù)據(jù)庫接口獲取設(shè)備在各種數(shù)據(jù)庫中的安全相關(guān)信息；(3)通過OPSec接口接收事件。在收集安全事件后，還需要安全事件預(yù)處理模塊的處理后，才能送到安全事件分析子模塊進行分析。

1.1.2安全事件預(yù)處理模塊

通過幾個步驟進行安全事件的預(yù)處理：（1）標(biāo)準化：將外部設(shè)備的日志統(tǒng)一格式；（2）過濾：在標(biāo)準化步驟后，自定義具有特別屬性(包括事件名稱、內(nèi)容、產(chǎn)生事件設(shè)備IP/MAC等)的不關(guān)心的安全事件進行丟棄或特別關(guān)注的安全事件進行特別標(biāo)記；（3）歸并：針對大量相同屬性事件進行合并整理。

1.1.3安全事件分析子模塊

關(guān)聯(lián)分析：通過內(nèi)置的安全規(guī)則庫，將原本孤立的實時事件進行縱向時間軸與歷史事件比對和橫向?qū)傩暂S與其他安全事件比對，識別威脅事件。事件分析子模塊是SOC系統(tǒng)中最復(fù)雜的部分，涉及各種分析技術(shù)，包括相關(guān)性分析、結(jié)構(gòu)化分析、入侵路徑分析、行為分析。事件告警：通過上述過程產(chǎn)生的告警信息通過XML格式進行安全信息標(biāo)準化、規(guī)范化，告警信息集中存儲于日志數(shù)據(jù)庫，能夠滿足容納長時間信息存儲的需求。

1.2安全策略庫及日志庫

安全策略庫主要功能是傳遞各類安全管理信息，同時將處理過的安全事件方法和方案收集起來，形成安全共享知識庫，為培養(yǎng)高素質(zhì)網(wǎng)絡(luò)安全技術(shù)人員提供培訓(xùn)資源。信息內(nèi)容包括安全管理信息、風(fēng)險評估信息、網(wǎng)絡(luò)安全預(yù)警信息、網(wǎng)絡(luò)安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志，可采用主流的關(guān)系性數(shù)據(jù)庫實現(xiàn)，例如Oracle、DB2、SQLServer等。

1.3安全業(yè)務(wù)模塊

安全業(yè)務(wù)模塊包括拓撲管理子模塊和安全風(fēng)險評估子模塊。拓撲管理子模塊具備的功能：(1)通過網(wǎng)絡(luò)嗅探自動發(fā)現(xiàn)加入網(wǎng)絡(luò)中的設(shè)備及其連接，獲取最初的資產(chǎn)信息；(2)對網(wǎng)絡(luò)拓撲進行監(jiān)控，監(jiān)控節(jié)點運行狀態(tài)；(3)識別新加入和退出節(jié)點；(4)改變網(wǎng)絡(luò)拓撲結(jié)構(gòu)，其過程與現(xiàn)有同類SOC產(chǎn)品類似，在此不再贅述。目前按照國標(biāo)（GB/T20984-2007信息安全風(fēng)險評估規(guī)范），將信息系統(tǒng)安全風(fēng)險分為五個等級，從低到高分別為微風(fēng)險、一般風(fēng)險、中等風(fēng)險、高風(fēng)險和極高風(fēng)險。系統(tǒng)將通過接收安全事件管理模塊的分析結(jié)果，完成資產(chǎn)的信息安全風(fēng)險計算工作，進行定損分析，并自動觸發(fā)任務(wù)單和響應(yīng)來降低資產(chǎn)風(fēng)險，達到管理和控制風(fēng)險的效果。

1.4控制中心模塊

該模塊負責(zé)管理全網(wǎng)的安全策略，進行配置管理，對全網(wǎng)資產(chǎn)進行統(tǒng)一配置和策略統(tǒng)一下發(fā)，改變當(dāng)前需要對每個設(shè)備分別下方策略所帶來的管理負擔(dān)，并不斷進行優(yōu)化調(diào)整。控制中心提供全網(wǎng)安全威脅和事故的集中處理服務(wù)，事件的響應(yīng)可通過各系統(tǒng)的聯(lián)動、向第三方提供事件信息傳遞接口、輸出任務(wù)工單等方式實現(xiàn)。該模塊對于確認的安全事件可以通過自動響應(yīng)機制，一方面給出多種告警方式（如控制臺顯示、郵件、短信等），另一方面通過安全聯(lián)動機制阻止攻擊（如路由器遠程控制、交換機遠程控制等）。各系統(tǒng)之間聯(lián)動通過集合防火墻、入侵監(jiān)測、防病毒系統(tǒng)、掃描器的綜合信息，通過自動調(diào)整安全管理中心內(nèi)各安全產(chǎn)品的安全策略，以減弱或者消除安全事件的影響。

1.5網(wǎng)間協(xié)作模塊

該模塊的主要功能是根據(jù)結(jié)合自身的工作任務(wù)，判定是否需要其它SOC的協(xié)同。若需要進行協(xié)同，則與其它SOC之間進行通信，傳輸相關(guān)數(shù)據(jù)，請求它們協(xié)助自己完成安全威脅確認等任務(wù)。

篇（10）

中圖分類號:TP393文獻標(biāo)識碼:A文章編號:1009-3044(2010)19-5189-05

Response Cost Analysis Based on Fine-grained Event Categories

LI Cheng-dong

(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)

Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.

Key word: intrusion response; event categories; cost analysis

成本分析,通俗的理解就是考慮價格。通常我們做事情都會有意識或無意識的考慮價格或者代價,就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做。

在網(wǎng)絡(luò)安全上,我們同樣也需要考慮價格和代價。這一思想,從整體網(wǎng)絡(luò)安全的角度上看,就是目前提出的“適度安全”的概念。所謂“適度安全”,就是在信息安全風(fēng)險和投入之間取得平衡。例如,如果一個企業(yè)在信息安全風(fēng)險方面的預(yù)算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會是1000萬元。

在網(wǎng)絡(luò)入侵響應(yīng)上,我們同樣面臨著這樣的問題。首先舉一個簡單的例子:一家移動運營商被黑客入侵一個關(guān)鍵業(yè)務(wù),那么作為響應(yīng),他可能會在防火墻訪問控制策略中添加一條嚴格的規(guī)則,用來防止類似事件的再次發(fā)生。然而,這樣的一條規(guī)則增加,很有可能造成的后果是通信服務(wù)質(zhì)量下滑。所以是否要采用這些措施,必須由經(jīng)營者對潛在的安全威脅進行審議,考慮入侵帶來的損失和響應(yīng)造成的服務(wù)質(zhì)量下降造成的損失孰重孰輕。

一個理想的入侵響應(yīng)系統(tǒng)應(yīng)該是用最小的代價來最大限度減少入侵帶來的損失。入侵響應(yīng)必須從實際情況出發(fā)來應(yīng)對入侵事件,不惜一切代價的“響應(yīng)”是不合理的。因此,入侵響應(yīng)必須要考慮成本,也就是說,一個基本的思想是響應(yīng)成本不能超過預(yù)期的入侵造成的損失。

目前,在入侵響應(yīng)的技術(shù)研究方面主要側(cè)重于技術(shù)上的可行性或技術(shù)上的有效性,而忽視了在實際應(yīng)用方面成本。這是因為技術(shù)人員和商業(yè)用戶在同一問題上的考慮重點不同,對技術(shù)人員來說,并沒有把費用放在第一位。

通過以上分析討論,可以看出,對響應(yīng)的成本分析進行深入研究是非常有意義與有必要的。

1 細粒度安全事件分類描述

大量系統(tǒng)漏洞的存在是安全事件產(chǎn)生的根源,網(wǎng)絡(luò)攻擊事件更是對安全事件的研究的主體。因此與網(wǎng)絡(luò)安全事件相關(guān)的分類研究主要包括對漏洞的分類研究和對攻擊的分類研究。下面主要從這兩個方面對相關(guān)分類研究進行介紹。

1.1 系統(tǒng)安全漏洞分類研究

系統(tǒng)漏洞也可以稱為脆弱性,是指計算機系統(tǒng)在硬件,軟件,協(xié)議等在設(shè)計,實施以及具體的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未經(jīng)授權(quán)的用戶有可能利用這些漏洞取得系統(tǒng)權(quán)限,執(zhí)行非法操作,從而造成安全事故的發(fā)生

對漏洞分類的研究有一段時間,提出了許多分類方法,但大多數(shù)是停留在一維的分類上面。Landwehr在總結(jié)前人研究的基礎(chǔ)上,提出了一個多層面的脆弱性分類[1]。這種脆弱性分類,主要從漏洞來源、引入時間和存在位置三個角度進行詳細的分類,目的是建立一種更安全的軟件系統(tǒng)。Landwehr的漏洞分類三維模型如圖1所示。

這種分類方法的缺點是概念上存在交叉和模糊現(xiàn)象,在分類方法上還不夠完善。但是它的意義是提出了一種多維的分類模型,同時也說明了按照事物的多個屬性從多個維度進行分類的必要性。

1.2 攻擊分類研究

對攻擊的分類研究有助于更好地防御攻擊,保護系統(tǒng)。攻擊分類對恰當(dāng)?shù)闹贫ü舨呗源鷥r估算是必不可少的。

根據(jù)不同的應(yīng)用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求。在總結(jié)前人基礎(chǔ)上, Linqvist進一步闡述了Landwehr的多維分類思想。他認為,一個事物往往有多個屬性,分類的主要問題是選擇哪個屬性作為分類基礎(chǔ)的問題。Linqvist認為,攻擊的分類應(yīng)該從系統(tǒng)管理員的角度來看,系統(tǒng)管理員所關(guān)注的是在一次攻擊中使用的攻擊技術(shù)和攻擊造成的結(jié)果。因此,Linqvist以技術(shù)為基礎(chǔ),在攻擊技術(shù)和攻擊結(jié)果兩個角度上對網(wǎng)絡(luò)攻擊進行了分類[2],其目的在于建立一個有系統(tǒng)的研究框架。Linqvist的攻擊分類,如圖2所示。

通過對以上這些安全事件相關(guān)分類研究的介紹,我們可以得到以下兩點啟發(fā):

1) 安全事件的分類應(yīng)該以事件的多個屬性為依據(jù),從多個維度進行分類。

2) 分類研究應(yīng)該以應(yīng)用為目的,應(yīng)該滿足分類的可用性要求。

所以對網(wǎng)絡(luò)安全事件的分類研究應(yīng)該是面向應(yīng)急響應(yīng)過程的。

1.3 細粒度事件分類

通過以上的簡要介紹,我們從應(yīng)急響應(yīng)過程的要求出發(fā)有重點的提取分類依據(jù),構(gòu)建了一個面向響應(yīng)的多維分類模型。

1.3.1 安全事件要素分析

一個安全事件的形式化描述[3]如圖3所示。攻擊者利用某種工具或攻擊技術(shù),通過系統(tǒng)的某個安全漏洞進入系統(tǒng),對攻擊目標(biāo)執(zhí)行非法操作,從而導(dǎo)致某個結(jié)果產(chǎn)生,影響或破壞到系統(tǒng)的安全性。最后一步是整個事件達到的目的,比如是達到了政治目的還是達到了經(jīng)濟目的。

以上描述指出了安全事件的多個要素,這些要素可以作為安全事件的分類依據(jù)。從而我們可以從不同維度出發(fā),構(gòu)造一個多維分類模型。

1.3.2 細粒度的分類方法

安全事件應(yīng)急響應(yīng)是針對一個網(wǎng)絡(luò)安全事件,為達到防止或減少對系統(tǒng)安全造成的影響所采取的補救措施和行動。根據(jù)事件應(yīng)急響應(yīng)六階段的方法論[4],響應(yīng)過程包括:準備,檢測,抑制,根除,恢復(fù),追蹤六個階段。其中的關(guān)鍵步驟是抑制反應(yīng),根除和恢復(fù)。

在上述討論的基礎(chǔ)上,我們提出了一種面向應(yīng)急響應(yīng)的網(wǎng)絡(luò)安全事件分類方法。這種方法以事件的多個要素作為分類依據(jù),同時引入時間概念,其中每一個維度都有具體的粒度劃分。在這6個維度中,又根據(jù)響應(yīng)過程的要求,以系統(tǒng)安全漏洞和事件結(jié)果兩個角度作為重點。

通過多維分類模型,我們可以從不同角度對網(wǎng)絡(luò)安全事件進行詳細分類,確定事件的多個性質(zhì)或?qū)傩?從而有利于生成準確的安全事件報告,并對響應(yīng)成本進行決策分析。利用此模型,我們還可以對以往的安全事件進行多維度的數(shù)據(jù)分析和知識發(fā)現(xiàn)。

當(dāng)然,模型也有需要改進的地方,比如在每個維度的詳細劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應(yīng)用中應(yīng)逐步加以改進和完善。

2 成本因素與成本量化

以本文提出的多維度的安全事件分類為基礎(chǔ)進行成本分析,首先需要確定與安全事故的因素有關(guān)的費用。依據(jù)經(jīng)驗,我們考慮的與響應(yīng)相關(guān)的費用主要來自兩個方面:入侵損失和響應(yīng)代價。

入侵損失由既成損失和潛在損失構(gòu)成。一個安全事件發(fā)生,它可能會造成一些對目標(biāo)系統(tǒng)的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統(tǒng)中以繼續(xù)存在可能造成的相關(guān)聯(lián)的損失,記為PDC(Potential Damage Cost)。

響應(yīng)代價是指針對某次入侵行為,采取相應(yīng)的響應(yīng)措施需要付出的代價,可以記為RC(Response Cost)。

入侵響應(yīng)的目的是在檢測到安全事件后,為防止事件繼續(xù)擴大而采取的有效措施和行動,在此過程中我們應(yīng)盡最大可能消除或減少潛在損失。因此成本分析的主要目標(biāo)是對潛在損失進行分析。在入侵響應(yīng)過程中考慮成本因素,其主要目的應(yīng)是在潛在損失和響應(yīng)成本之間尋找一個平衡點。也就是說,響應(yīng)成本不能高于潛在損失,否則就沒有必要進行響應(yīng)。

在確定成本因素之后,成本分析的關(guān)鍵是成本量化問題。與此相關(guān)的研究,我們參考網(wǎng)絡(luò)安全風(fēng)險評估的方法。所謂風(fēng)險評估,是指對一個企業(yè)的信息系統(tǒng)或網(wǎng)絡(luò)的資產(chǎn)價值、安全漏洞、安全威脅進行評估確定的過程。

確定方法可以定性,也可以量化。從安全風(fēng)險評估工作的角度來看,完全的,精確化的量化是相當(dāng)困難的,但定性分析和定量分析結(jié)合起來是一個很好的選擇。另外,與風(fēng)險評估相似,我們的工作主要是給出一個成本量化的方法,具體的量化值應(yīng)該由用戶參與確定。因為同樣的入侵行為,給一個小的傳統(tǒng)企業(yè)帶來的潛在損失可能是10萬,而給一個已經(jīng)實現(xiàn)信息化的大企業(yè)帶來的潛在損失可能就是100萬。

1) 潛在損失(PDC)

入侵的潛在損失可能取決于多個方面。這里我們主要從入侵行為本身和入侵目標(biāo)兩個方面進行考慮。入侵目標(biāo)的關(guān)鍵性記為Criticality,關(guān)鍵目標(biāo)的量化主要依據(jù)經(jīng)驗,可以通過目標(biāo)系統(tǒng)在網(wǎng)絡(luò)中所具備的功能或所起的作用體現(xiàn)出來。我們?nèi)∧繕?biāo)關(guān)鍵性值域為(0, 5),5為最高值。一般的,我們可以把網(wǎng)關(guān)、路由器、防火墻、DNS服務(wù)器的關(guān)鍵性值定義為5; Web, Mail, FTP等服務(wù)器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l。當(dāng)然,定義也可以根據(jù)具體的網(wǎng)絡(luò)環(huán)境進行調(diào)整。

入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個量與入侵所針對的目標(biāo)無關(guān),只是對入侵行為本身的一個描述。比如,一個可以獲取根用戶權(quán)限的攻擊的危害程度就高于只可以獲取普通用戶權(quán)限的攻擊的危害程度;而主動攻擊的危害性也高于被動攻擊的危害性。這里我們給出一個表(表2),根據(jù)經(jīng)驗量化了基本的幾類攻擊的危害性。

依據(jù)上述的描述,我們把入侵潛在損失定義為:

PDC=Criticality×Lethality

比如同樣是遭受到DOS攻擊,若攻擊目標(biāo)是Web服務(wù)器,入侵潛在損失為

PDC=4×30=120;

若攻擊目標(biāo)是普通UNIX工作站,則入侵損失為

PDC=2×30=60。

2) 響應(yīng)代價(RC)

響應(yīng)代價的量化主要基本的響應(yīng)策略和響應(yīng)機制等因素決定。響應(yīng)策略不同,代價也會不一樣,比如主動響應(yīng)的代價就比被動響應(yīng)的代價要高;而同樣的響應(yīng)策略,不同的響應(yīng)機制也可能導(dǎo)致響應(yīng)代價不同。

從另外一個角度講,響應(yīng)成本主要包括兩部分內(nèi)容:執(zhí)行響應(yīng)措施的資源耗費和響應(yīng)措施執(zhí)行以后帶來的負面影響,后者在響應(yīng)決策過程中往往被忽視,響應(yīng)帶來的負面影響是多方面的。比如,為了避免入侵帶來更大的損失,必要的時候需要緊急關(guān)閉受攻擊服務(wù)器,如果該服務(wù)器用于提供關(guān)鍵業(yè)務(wù),那業(yè)務(wù)的中斷就會帶來相應(yīng)的損失。再比如,有時候為了阻止攻擊,可能會通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應(yīng)可能就會對該合法用戶造成損失。這樣的損失也是響應(yīng)決策過程中應(yīng)該考慮的。

因此,對響應(yīng)代價的完全量化是比較困難的。為了說明響應(yīng)成本分析的核心思想,同樣將響應(yīng)代價的量化簡化,我們直接給出一個經(jīng)驗值(見表2)。這樣,在確定了事件的潛在損失與響應(yīng)代價之后,我們就可以做出響應(yīng)決策:

如果RC≤PDC,即響應(yīng)代價小于或者等于潛在損失,則進行響應(yīng)。

如果RC>PDC,即響應(yīng)代價超過了潛在的損失,則不進行響應(yīng)。

從前面的分析我們可以得出,在某些情況下,比如掃描、嗅探等此類的攻擊,響應(yīng)成本已經(jīng)超過了潛在的損失,那就沒有必要采取響應(yīng)措施了。

3 成本分析響應(yīng)算法

理想化的成本分析,只需要引入潛在損失與響應(yīng)代價兩個量。但是實際情況并非如此簡單。我們在構(gòu)建響應(yīng)成本分析模型,特別是評估入侵帶來的潛在損失的時候,必須從響應(yīng)系統(tǒng)的輸入,也就是入侵檢測系統(tǒng)的輸出開始考慮。

在安全事件發(fā)生后,還沒有完成入侵行動的情況下進行先期響應(yīng)部署時本文提出的成本分析方法的重點。引起響應(yīng)的有效性因素是降低反應(yīng)選擇在調(diào)整這種反應(yīng)行動將來使用。這種反應(yīng)的選擇和部署的情況下自動完成它允許任何用戶干預(yù)的快速遏制入侵防御,從而使系統(tǒng)更加有效。本文提出的方案優(yōu)點在于以下幾個方面:

1) 本算法確定先發(fā)制人的部署響應(yīng)。

2) 在成本敏感反應(yīng)的方法的響應(yīng)選擇是基于經(jīng)濟因素,并采用由攻擊成本和發(fā)生的損失作為響應(yīng)的依據(jù)。

3.1 成本分析的響應(yīng)算法流程

本文的研究基于這樣一個假設(shè),入侵行為在某種程度上具備相似性,入侵響應(yīng)系統(tǒng)可以記錄所有曾經(jīng)在系統(tǒng)中出現(xiàn)的入侵行為,無論響應(yīng)的結(jié)果是成功或者控制失敗,發(fā)生更大的災(zāi)難。成本分析的自動響應(yīng)模式分為以下三個步驟:

第一步是確定何時進行先期的入侵抑制響應(yīng)行動。本文以上述六個維度的指標(biāo)作為衡量,計算相應(yīng)的數(shù)值,然后和系統(tǒng)所能夠容忍的行為進行匹配比較,確定是否進行先期入侵抑制。也就是說攻擊序列已達到系統(tǒng)不可接受的程度,系統(tǒng)在較大概率上遇到一個實際的攻擊,此時進行先期抑制行為。

第二個步驟主要是確定候選的入侵響應(yīng)集合,在這一步驟進行加強可以減少由于第一步抑制行為的不正確引起的錯誤。響應(yīng)集合元素的選擇基于上述的兩個因素潛在損失和響應(yīng)成本的估算。響應(yīng)成本,代表了一個響應(yīng)的影響對系統(tǒng)進行操作,潛在的損害成本一般量化因素資源或計算能力。設(shè)置成本因素精確測量在現(xiàn)階段工程上來講存在諸多的不足。雖然目前很難確定究竟是什么時間進行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測響應(yīng)系統(tǒng)可以在量化上做出較好的工作。

在最后一步,響應(yīng)系統(tǒng)從候選集合中選擇最好的響應(yīng)方案,進行響應(yīng)。

下面,對具體的實行步驟進行詳細的討論:

第1步:先期響應(yīng)抑制。在檢測到某個序列與攻擊序列的相似度達到管理員設(shè)定的閾值的時候,系統(tǒng)啟動先期抑制響應(yīng)。需要注意的是,早期階段,對于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配。該響應(yīng)也可以在一段時間后才確認入侵。

為了指導(dǎo)響應(yīng)部署過程,本文定義一個概率閾值,表示可以接受的信任水平,某些攻擊一旦進行,那么其相應(yīng)的響應(yīng)行動就應(yīng)該被觸發(fā)。因此,本文設(shè)計的先期抑制響應(yīng)的條件為:一旦一個特定序列發(fā)生時,其前綴為攻擊序列的概率超過預(yù)先指定的概率閾值,那么可以推斷的是攻擊正在進行。這個閾值稱為信心水平,其公式如下:

步驟2:響應(yīng)集合的確定。一旦我們決定做出反應(yīng),即威脅概率已經(jīng)超出容忍限度之際,我們需要確定可部署的響應(yīng)策略。正如之前提到,先期抑制響應(yīng)可能導(dǎo)致錯誤發(fā)生,因為不正確的響應(yīng)或由于響應(yīng)過度而使得系統(tǒng)效率降低。因此,我們的目標(biāo)在這里使用下列參數(shù),損害成本(DC damage cost)和響應(yīng)成本(RC response cost)。響應(yīng)的選擇滿足公式如下:

DC*σ>RC

第3步:最優(yōu)選擇的條件。要確定最佳的響應(yīng),在步驟2中選擇最佳的行動,本文考慮到兩個因素:成功因子(SF success factor)及風(fēng)險因子(RF risk factor)。前者是在已有的響應(yīng)事件中成功響應(yīng),制止入侵行為的次數(shù)百分比,后者是響應(yīng)的嚴格程度。所謂的嚴格程度,本文是指對資源的影響與對合法用戶的影響。嚴格的響應(yīng)可能停止入侵,但也是帶來了不利的影響,影響系統(tǒng)性能和用戶使用情況。從本質(zhì)上講,風(fēng)險因子代表了響應(yīng)成本是與響應(yīng)行動有關(guān)的。本文使用期望值來對最優(yōu)響應(yīng)進行評估,從而確定響應(yīng)策略。其計算公式如下:

E(R)=Psuccess(S)*SF+Pris(S)*(-RF)

以上是闡述了成本分析的核心思想和算法,在此基礎(chǔ)上,對現(xiàn)有模型進行了改進。通過分析可以看到,成本分析的關(guān)鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業(yè)的具體應(yīng)用相關(guān)。

3.2 算法實現(xiàn)實例分析

典型的響應(yīng)過程如下所示:

1) 假設(shè)系統(tǒng)的存在的序列拓撲如圖4所示,響應(yīng)門限設(shè)為0.5。

序列的初始設(shè)定情況,如表3所示。

2) 檢測到序列{6},檢測PDC是否大于0.5,因為不存在,該點,因此不做任何處理,繼續(xù)進行檢測;

3) 檢測到序列{6,8},那么其相應(yīng)的信任水平值為表4,都是低于0.5的,因此,還是不進行操作。

4) 檢測到{6,8,5},{6,8,10},{6,8,9}。計算信任水平如表5。

都正好是0.5,因此都進行計算期望值,如表6所示。

5) 因此選擇{6,8,9,1}的響應(yīng)作為最佳的響應(yīng)策略

4 成本分析有效性驗證

本文通過一個模擬實驗來對入侵響應(yīng)的成本分析的有效性進行驗證。

4.1 實驗系統(tǒng)設(shè)計

本實驗選用兩種攻擊模式進行攻擊入侵,主要的數(shù)據(jù)如表7所示。

系統(tǒng)的數(shù)據(jù)來源是來自林肯實驗室2005年離線評估數(shù)據(jù)。由表7所示,每一個跟攻擊狀態(tài)相關(guān)以損害成本的整體損失成本跟蹤作為對各狀態(tài)損害成本跟蹤的總和。雖然本文的算法可以關(guān)聯(lián)多個響應(yīng)行動的一系列異常,但是,為了評估本文測試了當(dāng)個序列的響應(yīng)情況。

4.2 實驗結(jié)果分析

首先測試了在不同的響應(yīng)閾值情況下的平均潛在損失情況,其結(jié)果如圖5所示。

從實驗結(jié)果可以看出,比較穩(wěn)定的門限值在0.4到0.7之間,在這之間內(nèi),平均損失比較固定。在門限為1的情況下,損失最低。

加入成本分析后,系統(tǒng)誤判隨著門限的不同而出現(xiàn)的情況如圖6所示,圖6是針對dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進入誤差為零的狀態(tài)。

參考文獻:

[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.

篇（11）

中圖分類號：TP311文獻標(biāo)識碼：A文章編號：1009-3044(2008)35-2214-04

Research and Realization of Security Events Correlation Framework

ZHANG Zhong-liang

(School of Software Engineering, Tongji University, Shanghai 200331,China)

Abstract: Based on the correlation technique on the basis of prerequisites and consequences of attacks，we research and realize a Distributed framework of real-time collection and correlation analyzing multiple-source alerts. The elementary experiment indicates that the framework can reduce and analyze alerts effectively，and help the administrator find out the valuable information.

Key words: Multiple-source; real-time; correlation analyzing

1 引言

隨著網(wǎng)絡(luò)安全事件的逐年增加，越來越多的諸如IDS，防火墻，VPN等網(wǎng)絡(luò)安全產(chǎn)品和技術(shù)得以應(yīng)用，在一定程度上緩解了網(wǎng)絡(luò)安全壓力，但同時也引出了許多新問題[1]：

1）各種安全技術(shù)和產(chǎn)品之間的異構(gòu)問題：信息安全建設(shè)引入了眾多異構(gòu)的安全技術(shù)和設(shè)備，但如何對其進行集中統(tǒng)一的管理？

2）海量信息難以統(tǒng)一管理：多種安全設(shè)備產(chǎn)生了海量信息，通過傳統(tǒng)的手工或半手工方法難于對其進行分析和管理。如果不能夠及時識別出其中的不可靠信息并采取相應(yīng)措施，可能會給網(wǎng)絡(luò)帶來災(zāi)難性的后果；

3）IDS的誤報/漏報現(xiàn)象：靈敏度和可靠性始終是IDS難以解決的問題，現(xiàn)有IDS產(chǎn)品中，基于異常檢測的產(chǎn)品漏報率低，但誤報率高；而基于誤用檢測的產(chǎn)品誤報率低，漏報率高。同時，IDS的報警粒度太細，一旦出現(xiàn)攻擊可能就報警，報警數(shù)量太多，且無法顯示攻擊意圖。

如何對各種異構(gòu)安全設(shè)備進行有效管理，從海量信息中及時提取出重要信息，準確高效地檢測出系統(tǒng)中所發(fā)生的攻擊行為，成為網(wǎng)絡(luò)安全管理的重要議題。

2 研究基礎(chǔ)及設(shè)想

事件關(guān)聯(lián)大概可以分為三類：基于規(guī)則的關(guān)聯(lián)[2-4]、基于統(tǒng)計的關(guān)聯(lián)[5-6]和基于攻擊前提和后果的關(guān)聯(lián)[7-8]。

在基于規(guī)則的事件關(guān)聯(lián)系統(tǒng)中，已知的安全威脅模式被保存在數(shù)據(jù)庫中，當(dāng)事件源產(chǎn)生的事件成功匹配了其中一個模式，就認為發(fā)生了安全威脅，并采取相應(yīng)的措施。這種算法的誤報率低，但漏報率比較高，而且需要對所有規(guī)則精確匹配并且需要及時更新規(guī)則庫。

基于統(tǒng)計的事件關(guān)聯(lián)建立在系統(tǒng)正常行為的基礎(chǔ)之上，當(dāng)某行為與正常行為的偏移超過預(yù)先定義的閥值時，認為發(fā)生了攻擊并報警。這種算法漏報率低，但誤報率比較高，其依賴于對系統(tǒng)正常行為的訓(xùn)練是否足夠全面。

基于攻擊前提和后果的關(guān)聯(lián)是當(dāng)某一事件的結(jié)果部分滿足了另一事件的發(fā)生前提時，對這兩個事件進行關(guān)聯(lián)。與前兩類方法相比，這類方法有效的解決了漏報問題而且可以潛在地揭示出事件之間的因果關(guān)系并且不受限于已知的攻擊場景。

此次研究是在基于攻擊前提和后果的關(guān)聯(lián)思想和其攻擊場景重構(gòu)能力的基礎(chǔ)上對其進行了擴充和改進，設(shè)法實現(xiàn)一個綜合性的分布式實時安全管理平臺，其中的事件關(guān)聯(lián)模塊是此次研究的重點。研究內(nèi)容為：安全管理平臺的總體設(shè)計、事件關(guān)聯(lián)模塊中的關(guān)鍵技術(shù)、實驗分析、總結(jié)以及未來的工作。

3 安全管理平臺的總體設(shè)計

安全管理平臺提供對各種安全設(shè)備集中統(tǒng)一的配置和管理，并試圖通過事件關(guān)聯(lián)和風(fēng)險評估對網(wǎng)絡(luò)中的各種事件和日志進行分析，并及時把分析結(jié)果（包括報警關(guān)聯(lián)圖）通過網(wǎng)絡(luò)報告給客戶端管理員。事件關(guān)聯(lián)和風(fēng)險評估機制是系統(tǒng)智能的主要體現(xiàn)，也是整個系統(tǒng)最為關(guān)鍵的部分，其中事件關(guān)聯(lián)模塊接收各種安全事件，進行關(guān)聯(lián)，給出關(guān)聯(lián)結(jié)果并做出響應(yīng)，其在整個系統(tǒng)中處于底層事件收集器與上層終端控制界面之間，安全管理平臺的框架結(jié)構(gòu)如圖1所示，它主要包括客戶控制端、服務(wù)器端、事件收集器和數(shù)據(jù)庫，其中服務(wù)器包括事件關(guān)聯(lián)和風(fēng)險評估等重要模塊。

4 事件關(guān)聯(lián)模塊的設(shè)計

所謂事件關(guān)聯(lián)不單單指關(guān)聯(lián)這一具體操作，它包括一系列的處理過程，如報警規(guī)格化、報警過濾和報警融合等。本文中事件關(guān)聯(lián)模塊的具體流程見圖2。

下面將詳細介紹關(guān)聯(lián)模型中的關(guān)鍵技術(shù)。

4.1 報警規(guī)格化

鑒于不同類型的Sensor具有不同格式的報警事件描述，因此作為事件關(guān)聯(lián)的第一步，需要采用標(biāo)準的數(shù)據(jù)格式對報警事件進行描述。IDMEF[9]是IDWG發(fā)起的一份建議草案，它通過定義各種安全設(shè)備之間進行互操作的數(shù)據(jù)格式，實現(xiàn)信息共享。

如圖3所示，參考IDMEF，本文建立了報警對象（Alert object）數(shù)據(jù)結(jié)構(gòu)，包括Sensor，Signature，Target，Source，Response等子類，分別描述了Sensor的地址和屬性，攻擊事件詳細說明，被攻擊者的地址和主機屬性，攻擊者的地址和主機屬性，安全響應(yīng)策略等信息，多源異構(gòu)的Sensor采用報警對象存儲報警事件，并向上層結(jié)構(gòu)發(fā)送進行統(tǒng)一處理。

4.2 報警過濾

由于網(wǎng)絡(luò)的復(fù)雜性和攻擊的不確定性，多源異構(gòu)的Sensor所產(chǎn)生的報警可能存在某種錯誤，直接對包含錯誤信息的事件進行關(guān)聯(lián)處理，將影響關(guān)聯(lián)的準確度和執(zhí)行效率。因此需要對原始報警事件進行過濾，消除噪音數(shù)據(jù)。下面總結(jié)了報警事件可能出現(xiàn)的幾種錯誤：

時間錯誤：在分布式系統(tǒng)中，硬件環(huán)境的差異或人為因素的干擾，各子系統(tǒng)時鐘的不一致是正常現(xiàn)象，但這可能導(dǎo)致錯誤的關(guān)聯(lián)分析。因此在事件過濾過程中，將針對事件的時間值進行檢測；

地址錯誤：許多黑客在進行DOS攻擊時，為了掩蓋自身信息往往偽造地址，填寫錯誤的源地址或根本不存在的IP地址。大量的偽造地址將嚴重影響事件關(guān)聯(lián)分析，因此需要對事件的IP地址進行檢查；

攻擊錯誤：網(wǎng)絡(luò)攻擊總是針對特定的操作系統(tǒng)或漏洞進行的，若在事件報告中，攻擊事件與目標(biāo)系統(tǒng)的實際情況不符，則可認為是Sensor的檢測信息出現(xiàn)了錯誤。如：當(dāng)事件報告了Ftp攻擊事件而目標(biāo)主機根本未開放Ftp時，可以認為這是一個錯誤的事件報告。

4.3 報警合并

在原始報警信息中，存在這樣的情況：兩條或多條報警包含相似的信息，具有固定的內(nèi)在聯(lián)系，描述同一個攻擊事件，由多個異構(gòu)Sensor產(chǎn)生，本文稱其為重復(fù)事件。合并重復(fù)事件有利于提高關(guān)聯(lián)效率，同時也幫助管理員從整體上把握網(wǎng)絡(luò)的安全狀況。

合并重復(fù)事件需要對事件的4個屬性進行考察，以確定待檢測的事件是否為重復(fù)事件，第5個屬性給出了重復(fù)事件的敏感度：

Attack Name：攻擊事件的名稱；

Source IP Address：攻擊者的IP地址；

Target IP Address：被攻擊者的IP地址；

Detect Time：Sensor檢測到攻擊的時間；

Sensitivity：經(jīng)過合并處理后的事件敏感度，指出了該事件對系統(tǒng)安全的威脅程度，取值范圍是[0，1]。若取值為0時，說明重復(fù)事件對系統(tǒng)沒有影響，可以丟棄該事件。

當(dāng)系統(tǒng)收到新的報警事件B的時候，查找、合并重復(fù)事件的算法如下：

①根據(jù)B的Attack Name進行分類，查找相應(yīng)攻擊類型事件列表；

②遍歷該攻擊的事件列表，按B的Source IP Address搜索，假設(shè)找到事件A，如果A具有和B相同的源地址，則繼續(xù)按B的Target IP Address匹配。若匹配成功，轉(zhuǎn)④；若匹配不成功，則轉(zhuǎn)②重新按B的Source IP Address進行匹配。若事件列表已為空，則轉(zhuǎn)③；

③將B加入屬于Attack Name攻擊類型的事件列表，將Detect Time記入Start_detect_time字段并啟動計時器，退出函數(shù)，等待下一個事件的到來；

④判斷B與A是否為重復(fù)事件，若是，則A事件Count屬性計數(shù)加1，調(diào)用SensitivityCount()函數(shù)計算Sensitivity值，并更新A中Sensitivity屬性的值，使用B的Detect Time更新End_detect_time字段，計時器重新計時；

⑤計時器時間到，將重復(fù)事件A輸出，同時輸出Count，Start_detect_time，End_detect_time，Sensitivity等屬性，清除事件列表中的過期事件A。

5 實驗分析

為了評價上述事件關(guān)聯(lián)技術(shù)，本文利用網(wǎng)絡(luò)安全管理平臺做了實驗分析。實驗中我們使用DARPA入侵檢測評價數(shù)據(jù)庫作為背景數(shù)據(jù)，然后發(fā)動一系列攻擊行為產(chǎn)生被檢測報警數(shù)據(jù)，下面將詳細介紹實驗環(huán)境、實驗步驟和實驗結(jié)果分析。

5.1 實驗環(huán)境

實驗環(huán)境搭建在內(nèi)部局域網(wǎng)上，如圖4所示，利用集線器連接了六臺主機，使用snort作為入侵檢測工具，使用Nessus作為網(wǎng)絡(luò)漏洞掃描工具。其中，網(wǎng)絡(luò)安全管理平臺的服務(wù)器運行在192.168.80.45上，事件收集器、監(jiān)控終端以及snort運行在192.168.80.39上，Nessus的客戶端和網(wǎng)絡(luò)安全管理平臺的數(shù)據(jù)庫建在192.168.80.43上，主機192.168.80.23上運行Nessus服務(wù)器端，而主機192.168.80.40則用于發(fā)起攻擊，攻擊的目標(biāo)主機為192.168.80.190。

5.2 實驗步驟

1) 在192.168.80.43上利用Nessus掃描整個局域網(wǎng)，并把掃描結(jié)果存放到數(shù)據(jù)庫中。

2) 在192.168.80.45上啟動網(wǎng)絡(luò)安全管理平臺的服務(wù)器。

3) 在192.168.80.39上啟動snort，使其處于網(wǎng)絡(luò)入侵檢測模式，并啟動網(wǎng)絡(luò)安全管理平臺的事件收集器和監(jiān)控終端。

4) 實施攻擊。

具體的攻擊步驟如下：

①利用Nmap對192.168.80.190進行端口掃描，獲得其操作系統(tǒng)類型、開放端口及服務(wù)類型；

②利用ms04011.exe對其發(fā)動緩沖區(qū)溢出攻擊，并獲得其訪問控制權(quán)限；

③利用192.168.80.190對192.168.80.23發(fā)動Ping of Death攻擊。

針對以上攻擊步驟，snort產(chǎn)生了15條報警：2條SNMP request udp報警，2條SNMP public access udp報警，3條SNMP AgentX/tcp request報警，3條NETBIOS SMB-DS IPC$ unicode share access報警，3條NETBIOS SMB-DS DCERPC LSASS exploit attempt報警和2條ICMP Large ICMP Packet報警。

5.3 實驗結(jié)果分析

先前Peng ning等人利用基于攻擊前提和后果的關(guān)聯(lián)技術(shù)開發(fā)了一個入侵報警分析工具―TIAA[10,11]，但此工具是離線的，而且數(shù)據(jù)源僅為單個IDS。由于本文所提到的安全管理平臺目前還處于研究開發(fā)階段，所以我們只對其進行了簡單的測試。從測試結(jié)果來看，此事件關(guān)聯(lián)模型能夠有效的分析報警事件，大大減少了報警數(shù)量。與TIAA相比，此事件關(guān)聯(lián)模型具有以下優(yōu)勢：

1) 因為它是實時安全管理平臺中的核心模塊，所以它可以接近實時的處理安全事件以便即時做出響應(yīng)；

2) 它所關(guān)聯(lián)的安全事件來自多種異構(gòu)安全設(shè)備，這樣就提高了關(guān)聯(lián)操作的準確度；

3) 它在真正執(zhí)行關(guān)聯(lián)操作之前對原始安全事件做了一系列的處理，包括事件規(guī)格化、事件過濾和事件合并，這樣就大大提高了安全事件的質(zhì)量，減少了安全事件的數(shù)量，從而可以提高事件關(guān)聯(lián)的效率。

6 總結(jié)以及未來工作

本文對傳統(tǒng)的基于攻擊條件和結(jié)果的關(guān)聯(lián)技術(shù)進行了改進和擴充，并進行了簡單的測試，但由于條件有限，此模型還有待進一步的驗證。雖然此模型在真正關(guān)聯(lián)報警之前對報警做了預(yù)處理，減少了報警數(shù)量，在一定程度上提高了關(guān)聯(lián)效率，但我們的目的是實現(xiàn)一個實時安全管理平臺，所以當(dāng)報警相當(dāng)多的時候，執(zhí)行效率仍是一個需要考慮的問題，所以我們下一步的工作重點是要進一步的完善事件關(guān)聯(lián)模型，使其真正達到實時關(guān)聯(lián)。

參考文獻：

[1] Cuppens F.Managing Alerts in a Multi-Intrusion Detection Environment[C].17thAnnualComputer Security ApplicationsConference New-Orleans,New-Orleans, USA, December 2001.

[2] Carey N,Mohay G M,Clark A.Attack Signature Matching and Discovery in Systems Employing Heterogeneous IDS [R].ACSAC,2003:245-254.

[3] Cuppens F,Autrel F, Mi`ege A,et al.Correlation in an intrusion detection process[R].Internet Security CommunicationWorkshop (SECI),September 2002.

[4] Cuppens F,Ortalo R.LAMBDA：A Language to Model a Database for Detection of Attacks[R].Third International Workshop on theRecent Advances in Intrusion Detection (RAID'2000), October 2000.

[5] Valdes A,Skinner K.Probabilistic alert correlation[C].Proceedings of the 4th International Symposium on Recent Advancesin Intrusion Detection (RAID 2001),2002:54-68.

[6] Dain O,Cunningham R.Building scenarios from a heterogeneous alert stream[C].Proceedings of the 2001 IEEE Workshop onInformation Assurance and Security,2001:231-235.

[7] Ning P,Cui Y,Reeves D S.Analyzing intensive intrusion alerts via correlation[C].Zurich,Switzerland:Proceedings of the 5thInternational Symposium on Recent Advances in Intrusion Detection (RAID 2002),2002.

[8] Ning P,Cui Y,Reeves D S.Constructing attack scenarios through correlation of intrusion alerts[C].Washington,DC:Proceedings of the 9th ACM Conference on Computer and Communications Security,2003:245-254.