網(wǎng)絡(luò)安全事件定義范文
前言:我們精心挑選了數(shù)篇優(yōu)質(zhì)網(wǎng)絡(luò)安全事件定義文章,供您閱讀參考。期待這些文章能為您帶來啟發(fā),助您在寫作的道路上更上一層樓。
第1篇
關(guān)鍵詞:網(wǎng)絡(luò)安全;異常檢測;方案
網(wǎng)絡(luò)安全事件異常檢測問題方案,基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)展的研究之上。定義網(wǎng)絡(luò)安全異常事件檢測模式,提出網(wǎng)絡(luò)頻繁密度概念,針對網(wǎng)絡(luò)安全異常事件模式的間隔限制,利用事件流中滑動窗口設(shè)計算法,對網(wǎng)絡(luò)安全事件流中異常檢測進行探討。但是,由于在網(wǎng)絡(luò)協(xié)議設(shè)計上對安全問題的忽視以及在管理和使用上的不健全,使網(wǎng)絡(luò)安全受到嚴重威脅。本文通過針對網(wǎng)絡(luò)安全事件流中異常檢測流的特點的探討分析,對此加以系統(tǒng)化的論述并找出合理經(jīng)濟的解決方案。
1、建立信息安全體系統(tǒng)一管理網(wǎng)絡(luò)安全
在綜合考慮各種網(wǎng)絡(luò)安全技術(shù)的基礎(chǔ)上,網(wǎng)絡(luò)安全事件流中異常檢測在未來網(wǎng)絡(luò)安全建設(shè)中應(yīng)該采用統(tǒng)一管理系統(tǒng)進行安全防護。直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,將基于時間的統(tǒng)計特征屬性考慮在內(nèi),這樣可以提高系統(tǒng)的檢測精度。
1.1網(wǎng)絡(luò)安全帳號口令管理安全系統(tǒng)建設(shè)
終端安全管理系統(tǒng)擴容,擴大其管理的范圍同時考慮網(wǎng)絡(luò)系統(tǒng)擴容。完善網(wǎng)絡(luò)審計系統(tǒng)、安全管理系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、主機和應(yīng)用系統(tǒng)的部署,采用高新技術(shù)流程來實現(xiàn)。采用信息化技術(shù)管理需要帳號口令,有效地實現(xiàn)一人一帳號和帳號管理流程安全化。此階段需要部署一套帳號口令統(tǒng)一管理系統(tǒng),對所有帳號口令進行統(tǒng)一管理,做到職能化、合理化、科學(xué)化。
信息安全建設(shè)成功結(jié)束后,全網(wǎng)安全基本達到規(guī)定的標準,各種安全產(chǎn)品充分發(fā)揮作用,安全管理也到位和正規(guī)化。此時進行安全管理建設(shè),主要完善系統(tǒng)體系架構(gòu)圖編輯,加強系統(tǒng)平臺建設(shè)和專業(yè)安全服務(wù)。體系框架中最要的部分是平臺管理、賬號管理、認證管理、授權(quán)管理、審計管理,本階段可以考慮成立安全管理部門,聘請專門的安全服務(wù)顧問,建立信息安全管理體系,建立PDCA機制,按照專業(yè)化的要求進行安全管理通過系統(tǒng)的認證。
邊界安全和網(wǎng)絡(luò)安全建設(shè)主要考慮安全域劃分和加強安全邊界防護措施,重點考慮Internet外網(wǎng)出口安全問題和各節(jié)點對內(nèi)部流量的集中管控。因此,加強各個局端出口安全防護,并且在各個節(jié)點位置部署入侵檢測系統(tǒng),加強對內(nèi)部流量的檢測。主要采用的技術(shù)手段有網(wǎng)絡(luò)邊界隔離、網(wǎng)絡(luò)邊界入侵防護、網(wǎng)絡(luò)邊界防病毒、內(nèi)容安全管理等。
1.2綜合考慮和解決各種邊界安全技術(shù)問題
隨著網(wǎng)絡(luò)病毒攻擊越來越朝著混合性發(fā)展的趨勢,在網(wǎng)絡(luò)安全建設(shè)中采用統(tǒng)一管理系統(tǒng)進行邊界防護,考慮到性價比和防護效果的最大化要求,統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng)是最適合的選擇。在各分支節(jié)點交換和部署統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),考慮到以后各節(jié)點將實現(xiàn)INITERNET出口的統(tǒng)一,要充分考慮分支節(jié)點的internet出口的深度安全防御。采用了UTM統(tǒng)一網(wǎng)絡(luò)管理系統(tǒng),可以實現(xiàn)對內(nèi)部流量訪問業(yè)務(wù)系統(tǒng)的流量進行集中的管控,包括進行訪問控制、內(nèi)容過濾等。
網(wǎng)絡(luò)入侵檢測問題通過部署UTM產(chǎn)品可以實現(xiàn)靜態(tài)的深度過濾和防護,保證內(nèi)部用戶和系統(tǒng)的安全。但是安全威脅是動態(tài)變化的,因此采用深度檢測和防御還不能最大化安全效果,為此建議采用入侵檢測系統(tǒng)對通過UTM的流量進行動態(tài)的檢測,實時發(fā)現(xiàn)其中的異常流量。在各個分支的核心交換機上將進出流量進行集中監(jiān)控,通過入侵檢測系統(tǒng)管理平臺將入侵檢測系統(tǒng)產(chǎn)生的事件進行有效的呈現(xiàn),從而提高安全維護人員的預(yù)警能力。
1.3防護IPS入侵進行internet出口位置的整合
防護IPS入侵進行internet出口位置的整合,可以考慮將新增的服務(wù)器放置到服務(wù)器區(qū)域。同時在核心服務(wù)器區(qū)域邊界位置采用入侵防護系統(tǒng)進行集中的訪問控制和綜合過濾,采用IPS系統(tǒng)可以預(yù)防服務(wù)器因為沒有及時添加補丁而導(dǎo)致的攻擊等事件的發(fā)生。
在整合后的internet邊界位置放置一臺IPS設(shè)備,實現(xiàn)對internet流量的深度檢測和過濾。安全域劃分和系統(tǒng)安全考慮到自身業(yè)務(wù)系統(tǒng)的特點,為了更好地對各種服務(wù)器進行集中防護和監(jiān)控,將各種業(yè)務(wù)服務(wù)器進行集中管控,并且考慮到未來發(fā)展需要,可以將未來需要新增的服務(wù)器進行集中放置,這樣我們可以保證對服務(wù)器進行同樣等級的保護。在接入交換機上劃出一個服務(wù)器區(qū)域,前期可以將已有業(yè)務(wù)系統(tǒng)進行集中管理。
2、科學(xué)化進行網(wǎng)絡(luò)安全事件流中異常檢測方案的探討
網(wǎng)絡(luò)安全事件本身也具有不確定性,在正常和異常行為之間應(yīng)當有一個平滑的過渡。在網(wǎng)絡(luò)安全事件檢測中引入模糊集理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用模糊化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常模式時必須盡可能多得對網(wǎng)絡(luò)行為進行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
2.1基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析
針對網(wǎng)絡(luò)安全事件流中異常檢測問題,定義網(wǎng)絡(luò)安全異常事件模式為頻繁情節(jié),主要基于無折疊出現(xiàn)的頻繁度研究,提出了網(wǎng)絡(luò)安全事件流中頻繁情節(jié)發(fā)現(xiàn)方法,該方法中針對事件流的特點,提出了頻繁度密度概念。針對網(wǎng)絡(luò)安全異常事件模式的時間間隔限制,利用事件流中滑動窗口設(shè)計算法。針對復(fù)合攻擊模式的特點,對算法進行實驗證明網(wǎng)絡(luò)時空的復(fù)雜性、漏報率符合網(wǎng)絡(luò)安全事件流中異常檢測的需求。
傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則算法,將網(wǎng)絡(luò)屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為“布爾型”關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題,如果正常或異常略微偏離其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷。在基于網(wǎng)絡(luò)安全事件流中頻繁情節(jié)方法分析中,建立網(wǎng)絡(luò)安全防火墻,在網(wǎng)絡(luò)系統(tǒng)的內(nèi)部和外網(wǎng)之間構(gòu)建保護屏障。針對事件流的特點,利用事件流中滑動窗口設(shè)計算法,采用復(fù)合攻擊模式方法,對算法進行科學(xué)化的測試。
2.2采用系統(tǒng)連接方式檢測網(wǎng)絡(luò)安全基本屬性
在入侵檢測系統(tǒng)中,直接采用網(wǎng)絡(luò)連接記錄中的基本屬性,其檢測效果不理想,如果將基于時間的統(tǒng)計特征屬性考慮在內(nèi),可以提高系統(tǒng)的檢測精度。網(wǎng)絡(luò)安全事件流中異常檢測引入數(shù)據(jù)化理論,將其與關(guān)聯(lián)規(guī)則算法結(jié)合起來,采用設(shè)計化的關(guān)聯(lián)算法來挖掘網(wǎng)絡(luò)行為的特征,從而提高系統(tǒng)的靈活性和檢測精度。異常檢測系統(tǒng)中,在建立正常的數(shù)據(jù)化模式盡可能多得對網(wǎng)絡(luò)行為進行全面的描述,其中包含出現(xiàn)頻率高的模式,也包含低頻率的模式。
在網(wǎng)絡(luò)安全數(shù)據(jù)集的分析中,發(fā)現(xiàn)大多數(shù)屬性值的分布較稀疏,這意味著對于一個特定的定量屬性,其取值可能只包含它的定義域的一個小子集,屬性值分布也趨向于不均勻。這些統(tǒng)計特征屬性大多是定量屬性,傳統(tǒng)的挖掘定量屬性關(guān)聯(lián)規(guī)則的算法是將屬性的取值范圍離散成不同的區(qū)間,然后將其轉(zhuǎn)化為布爾型關(guān)聯(lián)規(guī)則算法,這樣做會產(chǎn)生明顯的邊界問題,如果正常或異常略微偏離其規(guī)定的范圍,系統(tǒng)就會做出錯誤的判斷。網(wǎng)絡(luò)安全事件本身也具有模糊性,在正常和異常行為之間應(yīng)當有一個平滑的過渡。
另外,不同的攻擊類型產(chǎn)生的日志記錄分布情況也不同,某些攻擊會產(chǎn)生大量的連續(xù)記錄,占總記錄數(shù)的比例很大,而某些攻擊只產(chǎn)生一些孤立的記錄,占總記錄數(shù)的比例很小。針對網(wǎng)絡(luò)數(shù)據(jù)流中屬性值分布,不均勻性和網(wǎng)絡(luò)事件發(fā)生的概率不同的情況,采用關(guān)聯(lián)算法將其與數(shù)據(jù)邏輯結(jié)合起來用于檢測系統(tǒng)。實驗結(jié)果證明,設(shè)計算法的引入不僅可以提高異常檢測的能力,還顯著減少了規(guī)則庫中規(guī)則的數(shù)量,提高了網(wǎng)絡(luò)安全事件異常檢測效率。
2.3建立整體的網(wǎng)絡(luò)安全感知系統(tǒng),提高異常檢測的效率
作為網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng)的一部分,建立整體的網(wǎng)絡(luò)安全感知系統(tǒng)主要基于netflow的異常檢測。為了提高異常檢測的效率,解決傳統(tǒng)流量分析方法效率低下、單點的問題以及檢測對分布式異常檢測能力弱的問題。對網(wǎng)絡(luò)的netflow數(shù)據(jù)流采用,基于高位端口信息的分布式異常檢測算法實現(xiàn)大規(guī)模網(wǎng)絡(luò)異常檢測。
通過網(wǎng)絡(luò)數(shù)據(jù)設(shè)計公式推導(dǎo)出高位端口計算結(jié)果,最后采集局域網(wǎng)中的數(shù)據(jù),通過對比試驗進行驗證。大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流的特點是數(shù)據(jù)持續(xù)到達、速度快、規(guī)模宏大。因此,如何在大規(guī)模網(wǎng)絡(luò)環(huán)境下進行檢測網(wǎng)絡(luò)異常并為提供預(yù)警信息,是目前需要解決的重要問題。結(jié)合入侵檢測技術(shù)和數(shù)據(jù)流挖掘技術(shù),提出了一個大規(guī)模網(wǎng)絡(luò)數(shù)據(jù)流頻繁模式挖掘和檢測算法,根據(jù)“加權(quán)歐幾里得”距離進行模式匹配。
實驗結(jié)果表明,該算法可以檢測出網(wǎng)絡(luò)流量異常。為增強網(wǎng)絡(luò)抵御智能攻擊的能力,提出了一種可控可管的網(wǎng)絡(luò)智能體模型。該網(wǎng)絡(luò)智能體能夠主動識別潛在異常,及時隔離被攻擊節(jié)點阻止危害擴散,并報告攻擊特征實現(xiàn)信息共享。綜合網(wǎng)絡(luò)選擇原理和危險理論,提出了一種新的網(wǎng)絡(luò)智能體訓(xùn)練方法,使其在網(wǎng)絡(luò)中能更有效的識別節(jié)點上的攻擊行為。通過分析智能體與對抗模型,表明網(wǎng)絡(luò)智能體模型能夠更好的保障網(wǎng)絡(luò)安全。
結(jié)語:
伴隨著計算機和通信技術(shù)的迅速發(fā)展,伴隨著網(wǎng)絡(luò)用戶需求的不斷增加,計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛,其規(guī)模也越來越龐大。同時,網(wǎng)絡(luò)安全事件層出不窮,使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢的挑戰(zhàn),傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全安全檢測技術(shù)能夠綜合各方面的安全因素,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況,并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警,為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的熱點。
參考文獻:
[1]沈敬彥.網(wǎng)絡(luò)安全事件流中異常檢測方法[J].重慶師專學(xué)報,2000,(4).
第2篇
【關(guān)鍵詞】安全態(tài)勢感知 關(guān)聯(lián)分析 數(shù)據(jù)挖掘
隨著電力行業(yè)計算機和通信技術(shù)的迅速發(fā)展,伴隨著用戶需求的不斷增加,計算機網(wǎng)絡(luò)的應(yīng)用越來越廣泛,其規(guī)模也越來越龐大。同時,網(wǎng)絡(luò)安全事件層出不窮,使得計算機網(wǎng)絡(luò)面臨著嚴峻的信息安全形勢,傳統(tǒng)的單一的防御設(shè)備或者檢測設(shè)備已經(jīng)無法滿足安全需求。網(wǎng)絡(luò)安全態(tài)勢感知(NSSA)技術(shù)能夠綜合各方面的安全因素,從整體上動態(tài)反映網(wǎng)絡(luò)安全狀況,并對安全狀況的發(fā)展趨勢進行預(yù)測和預(yù)警,為增強網(wǎng)絡(luò)安全性提供可靠的參照依據(jù)。因此,針對網(wǎng)絡(luò)的安全態(tài)勢感知研究已經(jīng)成為目前網(wǎng)絡(luò)安全領(lǐng)域的研究熱點。
1 安全態(tài)勢感知技術(shù)
態(tài)勢感知的定義:一定時間和空間內(nèi)環(huán)境因素的獲取,理解和對未來短期的預(yù)測。
網(wǎng)絡(luò)安全態(tài)勢感知是指在大規(guī)模網(wǎng)絡(luò)環(huán)境中,對能夠引起網(wǎng)絡(luò)態(tài)勢發(fā)生變化的安全要素進行獲取、理解、顯示以及預(yù)測未來的發(fā)展趨勢。所謂網(wǎng)絡(luò)態(tài)勢是指由各種網(wǎng)絡(luò)設(shè)備運行狀況、網(wǎng)絡(luò)行為以及用戶行為等因素所構(gòu)成的整個網(wǎng)絡(luò)當前狀態(tài)和變化趨勢。
國外在網(wǎng)絡(luò)安全態(tài)勢感知方面正做著積極的研究,比較有代表性的,如Bass提出應(yīng)用多傳感器數(shù)據(jù)融合建立網(wǎng)絡(luò)空間態(tài)勢感知的框架,通過推理識別入侵者身份、速度、威脅性和入侵目標,進而評估網(wǎng)絡(luò)空間的安全狀態(tài)。Shiffiet采用本體論對網(wǎng)絡(luò)安全態(tài)勢感知相關(guān)概念進行了分析比較研究,并提出基于模塊化的技術(shù)無關(guān)框架結(jié)構(gòu)。其他開展該項研究的個人還有加拿大通信研究中心的DeMontigny-Leboeuf、伊利諾大學(xué)香檳分校的Yurcik等。
國內(nèi)在這方面的研究起步較晚,近年來也有單位在積極探索。馮毅從我軍信息與網(wǎng)絡(luò)安全的角度出發(fā),闡述了我軍積極開展網(wǎng)絡(luò)態(tài)勢感知研究的必要性和重要性,并指出了兩項關(guān)鍵技術(shù)―多源傳感器數(shù)據(jù)融合和數(shù)據(jù)挖掘;北京理工大學(xué)機電工程與控制國家蕈點實驗窒網(wǎng)絡(luò)安全分室在分析博弈論中模糊矩陣博弈原理和網(wǎng)絡(luò)空間威脅評估機理的基礎(chǔ)上,提出了基于模糊矩陣博弈的網(wǎng)絡(luò)安全威脅評估模型及其分析方法,并給出了計算實例與研究展望;哈爾濱工程大學(xué)提出關(guān)于入侵檢測的數(shù)據(jù)挖掘框架;國防科技大學(xué)提出大規(guī)模網(wǎng)絡(luò)的入侵檢測;文獻中提到西安交通大學(xué)網(wǎng)絡(luò)化系統(tǒng)與信息安全研究中心和清華大學(xué)智能與網(wǎng)絡(luò)化系統(tǒng)研究中心研究提出的基于入侵檢測系統(tǒng)(intrusiondetectionsystem,IDS)的海量缶信息和網(wǎng)絡(luò)性能指標,結(jié)合服務(wù)、主機本身的重要性及網(wǎng)絡(luò)系統(tǒng)的組織結(jié)構(gòu),提出采用自下而上、先局部后整體評估策略的層次化安全威脅態(tài)勢量化評估方法,并采用該方法在報警發(fā)生頻率、報警嚴重性及其網(wǎng)絡(luò)帶寬耗用率的統(tǒng)計基礎(chǔ)上,對服務(wù)、主機本身的重要性因子進行加權(quán),計算服務(wù)、主機以及整個網(wǎng)絡(luò)系統(tǒng)的威脅指數(shù),進而評估分析安全威脅態(tài)勢。其他研究工作主要是圍繞入侵檢測、網(wǎng)絡(luò)監(jiān)控、網(wǎng)絡(luò)應(yīng)急響應(yīng)、網(wǎng)絡(luò)安全預(yù)警、網(wǎng)絡(luò)安全評估等方面開展的,這為開展網(wǎng)絡(luò)安全態(tài)勢感知研究奠定了一定的基礎(chǔ)。
2 安全策略管理系統(tǒng)的總體設(shè)計
本文中網(wǎng)絡(luò)安全態(tài)勢感知系統(tǒng),數(shù)據(jù)源目前主要是掃描、蜜網(wǎng)、手機病毒和DDoS流量檢測及僵木蠕檢測系統(tǒng),其中手機病毒檢測主要是感染手機號和疑似URL信息;DDoS主要提供被攻擊IP地址和web網(wǎng)站信息以及可能是偽造的攻擊源;僵木蠕系統(tǒng)則能夠提供僵尸IP、掛馬網(wǎng)站和控制主機信息;掃描器能夠提供主機和網(wǎng)站脆弱性等信息,并可以部分驗證;蜜網(wǎng)可以提供攻擊源、樣本和攻擊目標和行為。根據(jù)以上數(shù)據(jù)源信息通過關(guān)聯(lián)分析技術(shù)生成各類關(guān)聯(lián)分析后事件,把事件通過安全策略管理和任務(wù)調(diào)度管理進行分配,最終通過管理門戶進行呈現(xiàn)。系統(tǒng)的結(jié)構(gòu)描述如下。
(1)管理門戶主要包括:儀表盤、關(guān)聯(lián)事件、綜合查詢視圖、任務(wù)執(zhí)行狀態(tài)和系統(tǒng)管理功能。
(2)安全策略管理主要包括安全策略管理和指標管理。
(3)關(guān)聯(lián)分析根據(jù)采集平臺采集到的DDOS、僵木蠕、手機病毒、蜜網(wǎng)和IPS事件通過規(guī)則關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)規(guī)則分析生成各類關(guān)聯(lián)分析后事件。
(4)任務(wù)管理包括任務(wù)的自動生成、手動生成、任務(wù)下發(fā)和任務(wù)核查等功能。
(5)數(shù)據(jù)庫部分存儲原始事件、關(guān)聯(lián)分析后事件、各種策略規(guī)則和不同的安全知識庫。
(6)新資產(chǎn)發(fā)現(xiàn)模塊。
3 系統(tǒng)組成結(jié)構(gòu)
安全態(tài)勢感知平臺系統(tǒng)結(jié)構(gòu)如圖1所示。
3.1 管理門戶
管理門戶集成了系統(tǒng)的一些摘要信息、個人需要集中操作/處理的功能部分;它包括態(tài)勢儀表盤(Dashboard)、個人工作臺、綜合查詢視圖、系統(tǒng)任務(wù)執(zhí)行情況以及系統(tǒng)管理功能。
(1)態(tài)勢儀表盤提供了監(jiān)控范圍內(nèi)的整體安全態(tài)勢整體展現(xiàn),以地圖形式展現(xiàn)網(wǎng)絡(luò)安全形勢,詳細顯示低于的安全威脅、弱點和風(fēng)險情況,展示完成的掃描任務(wù)情況和掃描發(fā)現(xiàn)的漏洞的基本情況,系統(tǒng)層面的掃描和web掃描分開展示,展示新設(shè)備上線及其漏洞的發(fā)現(xiàn)。
(2)個人工作臺關(guān)聯(lián)事件分布地圖以全國地圖的形式向用戶展現(xiàn)當前系統(tǒng)內(nèi)關(guān)聯(lián)事件的情況――每個地域以關(guān)聯(lián)事件的不同級別(按最高)顯示其情況,以列表的形式向用戶展現(xiàn)系統(tǒng)內(nèi)的關(guān)聯(lián)事件。
(3)綜合查詢視圖包含關(guān)聯(lián)事件的查詢和漏洞查詢。關(guān)聯(lián)事件的查詢可以通過指定的字段對事件的相關(guān)信息進行查詢。漏洞查詢的查詢條件:包括時間段、IP段(可支持多個段同時查詢)、漏洞名稱、級別等;結(jié)果以IP為列表,點擊詳情可按時間倒序查詢歷史掃描。
(4)執(zhí)行任務(wù)狀態(tài),給出最近(一日、一天或一周)執(zhí)行的掃描任務(wù)(系統(tǒng))以及關(guān)聯(lián)事件驗證任務(wù)(掃描和爬蟲等)的執(zhí)行情況;在執(zhí)行情況中需說明任務(wù)是在執(zhí)行還是已經(jīng)結(jié)束、是什么時候開始和結(jié)束的、掃描的內(nèi)容是哪些IP。
(5)系統(tǒng)管理包括用戶管理、授權(quán)管理、口令管理三部分,用戶分為三種:系統(tǒng)管理員、操作員、審計員;系統(tǒng)管理員可以創(chuàng)建系統(tǒng)管理員和操作員,但審計員只能創(chuàng)建審計員;系統(tǒng)初始具有一個系統(tǒng)管理員和一個審計員。授權(quán)管理對于一般用戶,系統(tǒng)可以對他的操作功能進行授權(quán)。授權(quán)粒度明細到各個功能點。功能點的集合為角色。口令策略能定義、修改、刪除用戶口令策略,策略中包括口令長度、組成情況(數(shù)字、字母、特殊字符的組成)、過期的時間長度、是否能和最近3次的口令設(shè)置相同等。
3.2 知識庫
知識庫包括事件特征庫、關(guān)聯(lián)分析庫、僵木蠕庫、漏洞庫、手機病毒庫等,可以通過事件、漏洞、告警等關(guān)聯(lián)到知識庫獲得對以上信息的說明及處理建議,并通過知識庫學(xué)習(xí)相關(guān)安全知識,同時還提供知識庫的更新服務(wù)。
(1)事件特征庫中,可以對威脅、事件進行定義,要求對事件的特征、影響、嚴重程度、處理建議等進行詳細的說明。
(2)關(guān)聯(lián)分析庫提供大量內(nèi)置的關(guān)聯(lián)規(guī)則,這些關(guān)聯(lián)規(guī)則是經(jīng)過驗證的、可以解決某類安全問題的成熟規(guī)則,內(nèi)置規(guī)則可以直接使用;也可以利用這些內(nèi)置的關(guān)聯(lián)規(guī)則進行各種組合生成新的、復(fù)雜的關(guān)聯(lián)規(guī)則。
(3)僵木蠕庫是專門針對僵尸網(wǎng)絡(luò)、木馬、蠕蟲的知識庫,對各種僵尸網(wǎng)絡(luò)、木馬、蠕蟲的特征進行定義,對問題提出處理建議。
(4)手機病毒庫,實現(xiàn)收集病毒庫的添加、刪除、修改等操作。
(5)IP信譽庫數(shù)據(jù)包含惡意IP地址、惡意URL等。
(6)安全漏洞信息庫提供對漏洞的定義,對漏洞的特征、影響、嚴重程度、處理建議等進行詳細的說明。
3.3 任務(wù)調(diào)度管理
任務(wù)調(diào)度管理是通過將安全策略進行組合形成安全任務(wù)計劃,并針對任務(wù)調(diào)度計劃實現(xiàn)管理、下發(fā)等功能,到達針對由安全事件和漏洞等進行關(guān)聯(lián)分析后產(chǎn)生的重要級別安全分析后事件的漏掃和爬蟲抓取等任務(wù)管理,以實現(xiàn)自動調(diào)度任務(wù)的目標。
任務(wù)調(diào)度管理功能框架包括:調(diào)度任務(wù)生成、調(diào)度任務(wù)配置、任務(wù)下發(fā)、任務(wù)執(zhí)行管理和任務(wù)核查功能。
任務(wù)調(diào)動管理功能模塊框架如圖2所示。
(1)任務(wù)調(diào)度能夠展現(xiàn)提供統(tǒng)一的信息展示和功能入口界面,直觀地顯示任務(wù)調(diào)度后臺管理執(zhí)行的數(shù)據(jù)內(nèi)容。
(2)任務(wù)調(diào)度管理包括根據(jù)安全策略自動生成的任務(wù)和手動創(chuàng)建的調(diào)度任務(wù)。
(3)任務(wù)調(diào)度管理功能包括任務(wù)下發(fā)和任務(wù)核查,任務(wù)執(zhí)行功能將自動生成的和手動創(chuàng)建完成的調(diào)度任務(wù)通過任務(wù)下發(fā)和返回接口將不同類型的安全任務(wù)下發(fā)給漏洞掃描器等。
(4)自動生成和手動創(chuàng)建的安全任務(wù)要包括執(zhí)行時間、執(zhí)行周期和類型等安全配置項。
(5)任務(wù)計劃核查功能對任務(wù)運行結(jié)果進行分析、判斷、匯總。每一個任務(wù)的核查結(jié)果包括:任務(wù)名、結(jié)果(成功、失敗)、執(zhí)行時間、運行狀態(tài)、進度、出錯原因等。
3.4 策略管理
策略管理包括安全策略管理和指標管理兩部分功能,策略管理針對重要關(guān)聯(lián)分析后安全事件和重要安全態(tài)勢分析后擴散事件以及發(fā)現(xiàn)新上線設(shè)備等維護安全策略,目標是當系統(tǒng)關(guān)注的重點關(guān)聯(lián)分析后事件和大規(guī)模擴散病毒發(fā)生后或者新上線設(shè)備并且匹配安全策略自動生成安任務(wù);指標管理維護平臺中不同類型重點關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標。
策略管理功能模塊框架如圖3所示。
策略管理對系統(tǒng)的安全策略進行維護,包括針對重要關(guān)聯(lián)分析后事件、重要安全態(tài)勢分析后擴散事件、發(fā)現(xiàn)新上線設(shè)備的安全策略,當系統(tǒng)中有匹配安全策略的重要關(guān)聯(lián)分析后事件生成時調(diào)用安全任務(wù)管理模塊自動觸發(fā)安全調(diào)度任務(wù)。
指標管理對系統(tǒng)接收的各類安全事件、漏洞、手機病毒等進行關(guān)聯(lián)分析處理,生成關(guān)聯(lián)分析后事件,從而有效的了解安全情況和安全態(tài)勢,指標管理對系統(tǒng)中不同類型重點關(guān)注關(guān)聯(lián)分析后事件的排名和權(quán)重等指標進行維護管理。
3.5 關(guān)聯(lián)分析
安全分析功能利用統(tǒng)計分析、關(guān)聯(lián)分析、數(shù)據(jù)挖掘等技術(shù),從宏觀和微觀兩個層面,對網(wǎng)絡(luò)與信息安全事件監(jiān)測數(shù)據(jù)進行綜合分析,實現(xiàn)對當前的安全事件、歷史事件信息進行全面、有效的分析處理,通過多種分析模型以掌握信息安全態(tài)勢、安全威脅和事件預(yù)報等,為信息安全管理提供決策依據(jù)。對于宏觀安全態(tài)勢監(jiān)測,需要建立好各種分析模型,有針對性的模型才能把宏觀安全態(tài)勢監(jiān)測做到實處,給用戶提供真正的價值。同時也不能只關(guān)注“面”而放棄了“點”的關(guān)注,在實際應(yīng)用中,我們更需要對系統(tǒng)采集到的各類安全信息進行關(guān)聯(lián)分析,并對具體IP的事件和漏洞做分析和處理。
關(guān)聯(lián)分析完成各種安全關(guān)聯(lián)分析功能,關(guān)聯(lián)分析能夠?qū)⒃嫉陌踩酉到y(tǒng)事件進行分析歸納為典型安全事件類別,從而更快速地識別當前威脅的性質(zhì)。系統(tǒng)提供三種關(guān)聯(lián)分析類型:基于規(guī)則的事件關(guān)聯(lián)分析、統(tǒng)計關(guān)聯(lián)分析和漏洞關(guān)聯(lián)分析。根據(jù)此關(guān)聯(lián)分析模塊的功能,結(jié)合事件的特征和安全監(jiān)測策略,制定相關(guān)的特定關(guān)聯(lián)分析規(guī)則。
(1)事件關(guān)聯(lián)分析對暗含攻擊行為的安全事件序列建立關(guān)聯(lián)性規(guī)則表達式,系統(tǒng)能夠使用該關(guān)聯(lián)性規(guī)則表達式,對收集到的安全事件進行檢查,確定該事件是否和特定的規(guī)則匹配。可對僵尸、木馬、蠕蟲、DDOS異常流量、手機病毒、漏洞等安全事件序列建立關(guān)聯(lián)。
(2)漏洞關(guān)聯(lián)分析漏洞關(guān)聯(lián)分析的目的在于要識別出假報警,同時為那些尚未確定是否為假肯定或假警報的事件分配一個置信等級。這種方法的主要優(yōu)點在于,它能極大提高威脅運算的有效性并可提供適用于自動響應(yīng)和/或告警的事件。
(3)統(tǒng)計關(guān)聯(lián)可以根據(jù)實際情況定義事件的觸發(fā)條件,對每個類別的事件設(shè)定一個合理的閥值然后統(tǒng)計所發(fā)生的事件,如果在一定時間內(nèi)發(fā)生的事件符合所定義的條件則觸發(fā)關(guān)聯(lián)事件。
4 結(jié)語
本文主要的信息安全建設(shè)中的安全態(tài)勢感知系統(tǒng)進行了具體設(shè)計,詳細定義了系統(tǒng)的基本功能,對系統(tǒng)各個模塊的實現(xiàn)方式進行了詳細設(shè)計。系統(tǒng)通過對地址熵模型、三元組模型、熱點事件傳播模型、事件擴散模型、端口流量模型、協(xié)議流量模型和異常流量監(jiān)測模型各種模型的研究來實現(xiàn)平臺對安全態(tài)勢與趨勢分析、安全防護預(yù)警與決策。
根據(jù)系統(tǒng)組成與網(wǎng)絡(luò)結(jié)構(gòu)初步分析,安全態(tài)勢感知平臺將系統(tǒng)安全事件表象歸類為業(yè)務(wù)數(shù)據(jù)篡改、業(yè)務(wù)數(shù)據(jù)刪除、業(yè)務(wù)中斷等,這些表象可能因為哪些安全事件造成,請見表1內(nèi)容。
以系統(tǒng)的FTP弱口令為例,F(xiàn)TP服務(wù)和oracle服務(wù)運行在服務(wù)器操作系統(tǒng),當攻擊者利用ftp口令探測技術(shù),發(fā)現(xiàn)弱口令后,通過生產(chǎn)網(wǎng)的網(wǎng)絡(luò)設(shè)備,訪問到FTP服務(wù)器,使用FTP口令B接FTP服務(wù),并對上傳的數(shù)據(jù)文件刪除或替換操作,對業(yè)務(wù)的影響表現(xiàn)為,業(yè)務(wù)數(shù)據(jù)篡改或業(yè)務(wù)數(shù)據(jù)丟失。
安全態(tài)勢感知平臺FTP弱口令的事件關(guān)聯(lián)規(guī)則示例:
第3篇
關(guān)鍵詞:安全事件管理器;網(wǎng)絡(luò)安全
中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2008)08-10ppp-0c
1 相關(guān)背景
隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展,網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點,同時網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點領(lǐng)域之一。到目前為止,得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻(Firewall),IDS,IPS系統(tǒng),蜜罐系統(tǒng)等,這些安全技術(shù)在網(wǎng)絡(luò)安全防護方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展,這些技術(shù)也受到越來越多的挑戰(zhàn),出現(xiàn)了不少的問題,主要體現(xiàn)在以下三個方面:
(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息,海量的安全事件信息難以分析和處理。
(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展,一個組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享,使得安全管理人員不能及時掌網(wǎng)絡(luò)的安全態(tài)勢。
(3)組織內(nèi)的各種安全設(shè)備都針對某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置,整個組織內(nèi)各安全設(shè)備無法形成一個有效的,整合的安全防護功能。
針對以上問題,安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護技術(shù)被提出來了,與其它的網(wǎng)絡(luò)安全防護技術(shù)相比,它更強調(diào)對整個組織網(wǎng)絡(luò)內(nèi)的整體安全防護,側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián),從而提供更為強大的,更易于被安全人員使用的網(wǎng)絡(luò)安全保護功能。
2 安全事件管理器的概念與架構(gòu)
2.1 安全事件管理器概念
安全事件管理器的概念主要側(cè)重于以下二個方面:
(1)整合性:現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時產(chǎn)生大量的安全事件信息,安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起,形成統(tǒng)一的格式,有利于安全管理人員及時分析和掌握網(wǎng)絡(luò)安全動態(tài)。同時統(tǒng)一的、格式化的安全事件信息也為專用的,智能化的安全事件信息分析工具提供了很有價值的信息源。
(2)閉環(huán)性:現(xiàn)有的安全防護技術(shù)大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關(guān)注某一類安全事件信息,然后作出判斷和動作。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化,這些技術(shù)會出現(xiàn)一些問題,主要有誤報,漏報等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對某一類安全事件信息分析,不能與其它安全設(shè)備產(chǎn)生的信息進行關(guān)聯(lián),從而造成誤判。安全事件管理器從這個角度出發(fā),通過對組織內(nèi)各安全設(shè)備產(chǎn)生的信息進行整合和關(guān)聯(lián),實現(xiàn)對安全防護的閉環(huán)自反饋系統(tǒng),達到對網(wǎng)絡(luò)安全態(tài)勢更準確的分析判斷結(jié)果。
從以上二個方面可以看出,安全事件管理器并沒有提供針對某類網(wǎng)絡(luò)安全威脅直接的防御和保護,它是通過整合,關(guān)聯(lián)來自不同設(shè)備的安全事件信息,實現(xiàn)對網(wǎng)絡(luò)安全狀況準確的分析和判斷,從而實現(xiàn)對網(wǎng)絡(luò)更有效的安全保護。
2.2 安全事件管理器的架構(gòu)
安全事件管理器的架構(gòu)主要如下圖所示。
圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖
從圖中可以看出安全事件管理主要由三個部分組成的:安全事件信息的數(shù)據(jù)庫:主要負責(zé)安全事件信息的收集、格式化和統(tǒng)一存儲;而安全事件分析服務(wù)器主要負責(zé)對安全事件信息進行智能化的分析,這部分是安全事件管理系統(tǒng)的核心部分,由它實現(xiàn)對海量安全事件信息的統(tǒng)計和關(guān)聯(lián)分析,形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng);安全事件管理器的終端部分主要負責(zé)圖形界面,用于用戶對安全事件管理器的設(shè)置和安全事件警報、查詢平臺。
3 安全事件管理器核心技術(shù)
3.1 數(shù)據(jù)抽取與格式化技術(shù)
數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ),只要將來源不同的安全事件信息從不同平臺的設(shè)備中抽取出來,并加以格式化成為統(tǒng)一的數(shù)據(jù)格式,才可以實現(xiàn)對安全設(shè)備產(chǎn)生的安全事件信息進行整合、分析。而數(shù)據(jù)的抽取與格式化主要由兩方面組成,即數(shù)據(jù)源獲取數(shù)據(jù),數(shù)據(jù)格式化統(tǒng)一描述。
從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù),而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的,所以要對數(shù)據(jù)要采用統(tǒng)一的描述方式進行整理和格式化,目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的,因為XML語言是一種與平臺無關(guān)的標記描述語言,采用文本方式,因而通過它可以實現(xiàn)對安全事件信息的統(tǒng)一格式的描述后,跨平臺實現(xiàn)對安全事件信息的共享與交互。
3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)
關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)是安全事件管理器的功能核心,安全事件管理器強調(diào)是多層次與多角度的對來源不同安全設(shè)備的監(jiān)控信息進行分析,因此安全事件管理器的分析功能也由多種技術(shù)組成,其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計分析技術(shù)。
關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會同時在不同的安全設(shè)備上留下記錄信息,安全事件管理器通過分析不同的設(shè)備在短時間內(nèi)記錄的信息,在時間上的順序和關(guān)聯(lián)可有可能準備地分析出結(jié)果。而統(tǒng)計分析技術(shù)則是在一段時間內(nèi)對網(wǎng)絡(luò)中記錄的安全事件信息按屬性進行分類統(tǒng)計,當某類事件在一段時間內(nèi)發(fā)生頻率異常,則認為網(wǎng)絡(luò)可能面臨著安全風(fēng)險危險,這是一種基于統(tǒng)計知識的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是,這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式,而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則,也就是了解入侵攻擊的方式才可以實現(xiàn)準確的發(fā)現(xiàn)和分析效果。
4 安全事件管理器未來的發(fā)展趨勢
目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè),特別是信息安全產(chǎn)業(yè)中成為了熱點,并形成一定的市場。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如: IBM和思科公司都有相應(yīng)的產(chǎn)品推出,在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。
從總體上看,隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化,造成目前網(wǎng)絡(luò)防護中的木桶現(xiàn)象,即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護,其中任何一個設(shè)備的失誤都可能會造成整個防護系統(tǒng)被突破。
從技術(shù)發(fā)展來看,信息的共享是網(wǎng)絡(luò)安全防護發(fā)展的必然趨勢,網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式,將整個網(wǎng)絡(luò)的安全事件信息集中起來,進行分析,達到融合現(xiàn)有的各種安全防護技術(shù),以及未來防護技術(shù)兼容的優(yōu)勢,從而達到更準備和有效的分析與判斷效果。因此有理由相信,隨著安全事件管理器技術(shù)的進一步發(fā)展,尤其是安全事件信息分析技術(shù)的發(fā)展,安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位。
參考文獻:
