网络安全事件综合关联分析--解决方案
网络安全事件管理的综合关联分析解决方案★
刘雪娇肖德宝常亚楠陈历淼
华中师范大学计算机科学系430079
摘要:随着网络的飞速发展以及信息化程度的逐步提高,信息安全威胁呈现出多元化、复杂化的趋势,人们不断地采用防火墙、入侵检测、漏洞扫描等各种安全设备来监控网络以抵御入侵。然而,这些设备的广泛应用产生了海量的安全事件,其中充斥着大量不可靠的信息,甚至因此形成“事件风暴”。对此本文给出了网络安全事件管理的体系结构,将网络中事件源的安全事件集中采集、规整,利用基于规则和统计的综合事件关联方法对其进行分析处理,实现事件的规范、集中、关联和显示,从而能够发现网络中的潜在威胁和攻击以采取实时应对措施。
关键词:安全事件管理;相关性分析;综合关联分析;基于规则;基于统计
ComprehensiVeCorreIationSoIutionofNetwork
EVentManagement
LiuSecurityXllejiaoXiaoDebaoChangYananChenLiIniao
ComputerScience纽dTechn0109),Dep盯咖ent0fHuazhongNom融Univers咄430079
areAbStrad:AlongwimtherapiddeVelopmentofn酞Ⅳork弛dIIlfonnationT.echnology'there
securit)rthreatS.Firewau、inmlsiondetection、vldn豇ability
tomo他姐dmoresc锄erandetcareemployed
thiSt0monitorne懈,0rkinorderdefend也ein仇lsions.HoweVer'thewidelyu鸵ofthe∞∞curi哆deVicesg髓enteshuge卸∞ImtSaresomeofthemrather皿他Hable,∞metimes
isitev锄f0加帱“eventsto珊”.F0rptlrpo∞,the删tectlIre
canof∞硎t),eVents,ofne咐orksecuri哆eVentm姐agement
Bythisway,itrealizesthe
tllepo£entialthreatsandin昀du∞dinthispapeL1tc她conecteVentVario璐sec面哆cv衄ts缸髓diSpafalebeanalyzed.sources,tllenusingmlesba∞dandstatisticalb勰ed∞mp坨h%sivecorrelation,the∞eVentSn0珊alization,agg陀ga曲n,c0玎elationtakereal-timemeasures.andVisualizati∞of也eeV%ts,ac】№Vesto血dattacks,衄d
Keyvvords:SecⅢity
BasedEventM姐agement;EVentC0仃elation;ComprehensiveCo玎elation;姗esB墩d;Statistical
1引言
随着网络应用的日益普及,安全管理问题日渐繁杂。人们采用各种网络安全设备,如防火墙、入侵检测系统、漏洞扫描器、实时监控器、Ⅵ)N网关、防病毒软件等,从不同的角度来保护网络。这些层出不穷的安全技术产品,虽然在不同的侧面提升了网络的安全性,但是只能解决局部的安全问题;同时,这些设备产生・基金项目:武汉市科学技术局资助项目(200710L421130)。・1735・
了大量的审计数据,引起了安全信息过量、误报警率居高不下等问题,例如,对于入侵检测系统,其传感器每天就要产生10.20,000条报警【lJ;更重要的是,各类安全产品之间缺乏互操作性,很难做到协同调度、统一管理,无法保证整个网络策略上的完整性和行动上的一致性。虽然“没有绝对的安全”【2J,但是网络安全也是一个“木桶”问题,单靠任何一种安全产品,都不可能做到真正意义上的安全。
因此,如何统一、有效地管理安全设备及其产生的安全事件,最大限度地发挥安全设备的作用,从整体上提升网络的安全性,是目前亟需解决的问题。
本文提出了一个安全事件管理的体系结构,其主要特点是利用平台的综合特性,集成多种安全产品,实现关联性分析,提高对可疑事件的定位精度和响应速度,发现潜在的攻击征兆和安全态势,以达到层层设防、处处拦截、迅速抵御攻击、及时防范威胁、努力将安全风险降到最低程度的目的。
2安全事件管理
2.1安全管理
国际标准化组织(ISO)在lSO/mC74984文档中定义了网络管理的五大功能,被广泛地接受。安全管理(SecIlrityManagement,SM)是网络管理的五个功能域EACPS之一。安全管理的目的是提供信息的隐私、认证和完整性保护机制,使网络中的服务、数据以及系统免受侵扰和破坏。安全管理的功能分为两部分,首先是网络管理本身的安全,其次是被管网络对象的安全。、
安全管理一直是网络管理的薄弱环节之一,而用户对网络安全的要求又相当高,因此安全管理非常重要。安全管理的主要内容有:网络数据的私有性即保护网络数据不被侵入者非法获取:用户认证即防止对网络的非法使用;访问授权和访问控制;与安全有关的信息分发;与安全有关的事件通知;安全管理日志的记录、维护和查询等同。
2.2安全事件管理
安全事件管理(sec血t)rEventM蛆ag锄%t’sEM)作为安全管理的核心,处在信息安全体系的顶层【3】'主要处理来自各安全设备的实时事件信息收集【41。安全事件管理的创新在于能够卖时的分析来自于网络/系统/安全等设备的与安全相关的事件,其优势在于信息来源广泛,通过关联来自于不同地点、不同层次、不同类型的安全事件,发现真正的安全风险,提高安全报警的信噪比,从而可以准确、实时的评估当前的安全态势和风险,并根据预先制定策略做出快速的响应。
2.3安全事件管理体系结构
安全事件是指对网络中信息的机密性、完整性、可用性和真实性构成威胁的攻击事件,或者各安全设备中收集的与网络安全有关的日志信息,因而安全事件管理包括对检测事件、监控事件、扫描事件、日志事件等进行统一采集、集中存储、关联分析、统计处理等。通过对网络中的安全事件统一管理,安全事件管理需要达到以下目标【6】:①捕获安全事件;②识别安全威胁;③监控安全状态;④协助策略制定;⑤激发应急响应。
本文所提出的安全事件管理体系结构主要由网络信息收集、安全事件关联、安全态势评估三个部分组成。其体系结构如图1所示。
网络信息收集负责收集各设备产生的安全事件。来自安全设备、网络设备、应用程序和操作系统的安全事件根据功能侧重点的不同,大致可分为检测类、监控类、扫描类和日志类。检测类指用来检测安全事件的硬件设备和软件程序,如防火墙、入侵检测系统、防火墙软件等等。一旦检测类设备检测到高优先级的报警,就立即报警,以通知管理员及时处理、实时响应入侵事件。通过发送请求以获得特定信息的工具称为监控工具,如a印watch、tcptrack、opennms等。扫描类工具主要是指漏洞扫描、端口扫描及诸如此类的扫描工具,・1736・
它们提供一网段内各主机或设备的漏洞和开放端口信息。日志类的信息来自于操作系统日志、w曲服务器日志等系统程序和应用程序日志。
网络信息收集
图1安全事件管理体系结构
安全事件关联将网络信息收集模块中各设备收集的事件标准化存于事件库中,根据规则库中相关规则对事件库中安全事件进行相关性分析,并依据策略库,形成评估报告,使管理员对入侵事件及时响应并全面把握网络安全态势。
安全态势评估以友好的图形用户界面(GUI)方式向管理员提供实时的评估报告。主要以及时的报警、多样化的报表等形式准确、形象地将网络的安全态势呈现给管理员。
3事件相关性分析
在网络管理系统中,当系统收到“陷阱”报告或告警时被称之为收到“事件”,一个简单的问题源可能引起多种症状,每个检测到的症状在网管系统中被报告成一个独立的事件【7】。本文所提出的安全事件管理体系结构中,事件指的是从各类事件源收集到的信息,包括报警、日志、扫描报告等等。相关性表示两个或者更多实体之间具有相互联系的情况。相关性分析的结果有两种:一是信息的语义内容增加了;二是独立单元的总数缩减了【5】。事件相关性分析即对来自一个或多个源的事件信息的过滤、计数、压缩、泛化、分类和模式匹配,从而将多条信息量合并成一条具有更多信息量的事件。
3.1相关性分析类型
事件相关性分析常见类型具体如下【玉列。
压缩(c0Ⅲpression):将发生的多个相同事件压缩成一个同一类型的事件。其形式化描述为【A,A,…,A】婶A。
过滤(filte血g):即忽略掉不符合给定条件的事件。其形式化描述为【A,p㈥甓II1辛垂。如果事件A的P(A)值不属于合法值集合II,则过滤掉此事件。
抑制(suppreSsion):在特定的上下文中对某些事件进行抑制,如在级别高的事件发生时忽略级别低的事件。其形式化描述为D~C】辛①。C为给定的上下文环境。在前提C的情况下,抑制事件A。
计数(coullt):对重复到达的同样事件进行统计和设定门限值。可以置换一定数目的重复事件为一个新类型事件。其形式化描述为【n木A】寺B。例如用B代替n次出现的A。
泛化(generaLliZation):有时也称为概括,用事件的超类代替该事件。其形式化描述为【A,AcB】垮B。特化(specialization):有时也称为细化,用事件的特定子集事件代替事件。其形式化描述为LA乒)B】辛B。时序关系(temporalrelationTC‘befofe厶出ef’)):相关的事件依赖于事件发生时间顺序。其形式化描述为【ATB】净C。当A、B顺序发生时,则会发生事件C。・1737・
3.2相关性分析
综合关联分析解决方案即对网络中各种安全设备进行统一管理,将各个设备中分散的多样化的安全事件信息进行综合统一分析处理,从中发现各种安全迹象和征兆,从而有效地预防各种入侵、攻击,以提高网络的整体安全性。为了达到更有效的安全、一致性管理的目的,需要从分散的事件源中集中收集、规范、聚集及关联事件日志数据,以此发现网络中潜在的安全漏洞及可能的黑客入侵和病毒活动【4J。
安全事件关联模块是安全事件管理体系结构的重要部分,负责处理分析来自网络事件源的事件,并及时进行响应。如图2所示,通过与数据库服务器交互,事件相关性分析流程大致分为三个处理阶段:预处理、分析引擎和响应单元。数据库服务器包括事件库、规则库和策略库。其中,事件库中存放收集的安全事件,规则库存放事件相关性分析的规则,策略库中存放需要采取的策略。
图2事件相关性分析流程
1)预处理。预处理单元需要统一报警信息并进行错误检测及事件聚集。目前在信息安全领域存在较少的技术标准,当各种安全设备产生事件信息时,往往采用不同的形式(事件格式和内容)。最近的研究表明:全世界主流安全设备厂商报告有超过20000种不同类型的安全设备事件。由于在网络信息收集模块收集的信息来自于各种不同类型的安全设备(检测类、监控类、扫描类和日志类),各安全设备产生的安全事件的格式(报警、日志)又不尽相同,因而需要将网络信息收集的不同类型的安全事件进行标准化,并将其映射成预先定义好的统一的事件格式。
错误检测是为了确保事件库中不包含明显错误的事件。例如,非法的时间戳,系统免疫报警。系统免疫报警指的是确实是攻击但不会对当前系统造成威胁的事件。如在我们实验室中,使用Snon(一个开源的用来监视网络传输量的网络型入侵检测系统)经常会检测到大量的报警,稍加分析得知有些报警所含的攻击是针对Ijnux系统的,而它监控的局域网是windows系统,因而不会对当前系统造成任何影响,这些报警事件属于误报,需要消除。
事件聚集主要是一个消除重复事件的过程。由于在网络信息收集模块中,不同安全设备可能会对同一入侵事件同时产生多个报警,从而导致冗余事件的产生。通过综合使用相关性分析中的压缩、过滤、计数的方法,对标准化及经过错误检测的事件进行筛选合并,从而去除多源报警产生的冗余事件。
2)分析引擎。分析引擎从经过预处理过的事件库中抽取有用的信息,采用基于规则和基于统计的分析方法,综合分析事件库的安全事件,从而重构整个攻击场景,降低误报率,帮助管理人员分析出网络中潜在的安全隐患。
在分析时,采用基于规则的分析方法将可疑的安全活动场景(暗示着潜在恶意安全事故、攻击的一系列安全事件序列)以规则表达式的形式在规则库中加以预先定义,即己知安全威胁的模式被预定义在数据库中。这些模式最初在规则库中预先定义,之后在实际运用中不断丰富。分析时将预处理后的安全事件和规则库中的规则进行规则匹配,确定是否存在潜在的威胁。基于规则的分析只能对有限的安全事故进行检测,即只能对已经在规则库中定义的安全事故进行检测。正因为如此,规则库应该不断更新和丰富,才能有效、准确地检测到尽可能多的攻击。
基于统计的关联分析是指定义一些大的安全事件类别,将出现的事件先归类,然后根据各大类在一段时间内出现的事件的安全级别和数量用权值来评估资产和攻击。分析这些权值可以确定发生这种类型的攻击的危险程度,同时可将多次统计得到的高安全级别并已确定为攻击或入侵的事件再定义为规则以此来丰富规则库。
采用基于规则和统计的综合分析方法的优势在于:两种方法相互补充,系统一方面能够对特定的场景进・1738・
行快速匹配,另一方面对可能出现的其他威胁异常也能进行统计测量。
分析引擎的主要任务为综合分析报警事件及发现潜在的攻击行为。综合分析报警事件主要是指结合漏洞及日志信息判断并确认检测类的报警事件是否为真正的攻击。对于检测类设备的报警信息,有些是属于系统或用户的正常行为变化,如用户优化注册表信息、piIlg网络。但是由于检测类设备不了解系统的背景信息,只要一发现异常便立刻报警,这就引起了“事件风暴”,造成了报警泛洪。针对这种情况,在分析引擎中综合漏洞及系统日志信息可以进一步确认报警,并根据确认程度给报警赋一权值.权值的大小表明发生这种类型的攻击的危险程度。同时采用相关性分析中的抑制方法,权值大意味着危险级别高,因而具有高的优先级,可以抑制低权值的报警。这样一方面提高了报警的准确性,一方面保证了危险程度高的报警及时响应。另外,往往一系列报警是源于同一个攻击行为,这种攻击行为具有单一的攻击意图,可以包括单个的简单的攻击行为或由一系列攻击步骤组成的复杂的攻击行为。采用相关性分析中的泛化、特化、时序关系方法,可以依据报警的包含关系和时间序列关系,完成攻击场景的重构。
目前检测类设备存在很大程度的漏报,即真正的入侵没有被检测到。通过分析引擎,采用基于统计的分析方法,根据系统中潜在的漏洞信息及日志信息的变化,可以提前发现威胁,并及时通知管理员。
3)响应单元。响应单元主要负责将分析引擎的分析结果依据策略数据库中的策略进行及时响应,并在事件分析中不断丰富策略库。响应指的是高危险级的报警实时报警,其他分析结果形成评估报告呈现给管理员。4结论
安全管理是近年来安全领域研究的热点问题,而有效管理各种异构安全设备及其产生的海量安全事件是安全事件管理的难点之一。本文通过基于事件相关性分析,运用基于规则和基于统计的方法,将网络中各个设备分散的、多样化的安全事件信息进行综合统一处理,并通过图形化界面对事件关联结果加以呈现,从而为用户提供了一个高效并且有效的安全事件管理工具和手段。这种方案能有效地提高对安全事件的识别能力,从而在很大程度上精简了报警信息,降低了误报警率,提高了网络的整体安全性。
参考文献
【1】P∞gN,YunC,Dou酉asSR.A且a1),zingInt%siveIn仃Il《onAkftsViaCo眦1ation【q.ProcccdingsoftlIc5tllIntem蕊onal
SymposiumonReccntAdV趾ccsinIntnlsionDcte晌玛2002
【2】M.H弱a玛B.su舀a,R.Vis、math柚.AconocptIlal触me、釉rkfor∞锕orkm缸agcmcntcv%t∞rrclationand五ltcIingsystcms【A】.
InIM’99【21】,pp.233~246
【3】李岚.基于事件关联的网络事件管理的研究和设计【D】.南昌大学硕士学位论文.2005,5
【4】sccllrityInf0咖ation&EVentM卸agement(S也M)whitcPapcr【Z】.、)l,、Ⅳw.eiqne胁rl【s.∞m
[5】夏海涛,詹志强.新一代网络管理技术【M】.北京:北京邮电大学出版社.2003,5
【6】胡成锴.安全事件管理系统的研究与实现【D】.华东师范大学硕士学位论文.2005,10
【7】hnp:/^椭八^,-hacker.cn值et/csafb/suppor∞6101711125184704.sh砌
作者简介
刘雪娇,女,1984年生,河南安阳人,硕士研究生,主要研究方向为网络安全、网络管理。
肖德宝,男,1945年生,湖北武汉人,教授,博导,主要研究方向为网络管理,协议工程,网络安全。
常亚楠,女,1984年生,河南漯河人,硕士研究生,主要研究方向为网络管理、协议工程。
陈历淼,男,1984年生,湖南临湘人,硕士研究生,主要研究方向为网络管理、协议工程。・1739・