前言:我们精心挑选了数篇优质网络安全事件定义文章,供您阅读参考。期待这些文章能为您带来启发,助您在写作的道路上更上一层楼。
关键词:网络安全;异常检测;方案
网络安全事件异常检测问题方案,基于网络安全事件流中频繁情节发展的研究之上。定义网络安全异常事件检测模式,提出网络频繁密度概念,针对网络安全异常事件模式的间隔限制,利用事件流中滑动窗口设计算法,对网络安全事件流中异常检测进行探讨。但是,由于在网络协议设计上对安全问题的忽视以及在管理和使用上的不健全,使网络安全受到严重威胁。本文通过针对网络安全事件流中异常检测流的特点的探讨分析,对此加以系统化的论述并找出合理经济的解决方案。
1、建立信息安全体系统一管理网络安全
在综合考虑各种网络安全技术的基础上,网络安全事件流中异常检测在未来网络安全建设中应该采用统一管理系统进行安全防护。直接采用网络连接记录中的基本属性,将基于时间的统计特征属性考虑在内,这样可以提高系统的检测精度。
1.1网络安全帐号口令管理安全系统建设
终端安全管理系统扩容,扩大其管理的范围同时考虑网络系统扩容。完善网络审计系统、安全管理系统、网络设备、安全设备、主机和应用系统的部署,采用高新技术流程来实现。采用信息化技术管理需要帐号口令,有效地实现一人一帐号和帐号管理流程安全化。此阶段需要部署一套帐号口令统一管理系统,对所有帐号口令进行统一管理,做到职能化、合理化、科学化。
信息安全建设成功结束后,全网安全基本达到规定的标准,各种安全产品充分发挥作用,安全管理也到位和正规化。此时进行安全管理建设,主要完善系统体系架构图编辑,加强系统平台建设和专业安全服务。体系框架中最要的部分是平台管理、账号管理、认证管理、授权管理、审计管理,本阶段可以考虑成立安全管理部门,聘请专门的安全服务顾问,建立信息安全管理体系,建立PDCA机制,按照专业化的要求进行安全管理通过系统的认证。
边界安全和网络安全建设主要考虑安全域划分和加强安全边界防护措施,重点考虑Internet外网出口安全问题和各节点对内部流量的集中管控。因此,加强各个局端出口安全防护,并且在各个节点位置部署入侵检测系统,加强对内部流量的检测。主要采用的技术手段有网络边界隔离、网络边界入侵防护、网络边界防病毒、内容安全管理等。
1.2综合考虑和解决各种边界安全技术问题
随着网络病毒攻击越来越朝着混合性发展的趋势,在网络安全建设中采用统一管理系统进行边界防护,考虑到性价比和防护效果的最大化要求,统一网络管理系统是最适合的选择。在各分支节点交换和部署统一网络管理系统,考虑到以后各节点将实现INITERNET出口的统一,要充分考虑分支节点的internet出口的深度安全防御。采用了UTM统一网络管理系统,可以实现对内部流量访问业务系统的流量进行集中的管控,包括进行访问控制、内容过滤等。
网络入侵检测问题通过部署UTM产品可以实现静态的深度过滤和防护,保证内部用户和系统的安全。但是安全威胁是动态变化的,因此采用深度检测和防御还不能最大化安全效果,为此建议采用入侵检测系统对通过UTM的流量进行动态的检测,实时发现其中的异常流量。在各个分支的核心交换机上将进出流量进行集中监控,通过入侵检测系统管理平台将入侵检测系统产生的事件进行有效的呈现,从而提高安全维护人员的预警能力。
1.3防护IPS入侵进行internet出口位置的整合
防护IPS入侵进行internet出口位置的整合,可以考虑将新增的服务器放置到服务器区域。同时在核心服务器区域边界位置采用入侵防护系统进行集中的访问控制和综合过滤,采用IPS系统可以预防服务器因为没有及时添加补丁而导致的攻击等事件的发生。
在整合后的internet边界位置放置一台IPS设备,实现对internet流量的深度检测和过滤。安全域划分和系统安全考虑到自身业务系统的特点,为了更好地对各种服务器进行集中防护和监控,将各种业务服务器进行集中管控,并且考虑到未来发展需要,可以将未来需要新增的服务器进行集中放置,这样我们可以保证对服务器进行同样等级的保护。在接入交换机上划出一个服务器区域,前期可以将已有业务系统进行集中管理。
2、科学化进行网络安全事件流中异常检测方案的探讨
网络安全事件本身也具有不确定性,在正常和异常行为之间应当有一个平滑的过渡。在网络安全事件检测中引入模糊集理论,将其与关联规则算法结合起来,采用模糊化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常模式时必须尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
2.1基于网络安全事件流中频繁情节方法分析
针对网络安全事件流中异常检测问题,定义网络安全异常事件模式为频繁情节,主要基于无折叠出现的频繁度研究,提出了网络安全事件流中频繁情节发现方法,该方法中针对事件流的特点,提出了频繁度密度概念。针对网络安全异常事件模式的时间间隔限制,利用事件流中滑动窗口设计算法。针对复合攻击模式的特点,对算法进行实验证明网络时空的复杂性、漏报率符合网络安全事件流中异常检测的需求。
传统的挖掘定量属性关联规则算法,将网络属性的取值范围离散成不同的区间,然后将其转化为“布尔型”关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。在基于网络安全事件流中频繁情节方法分析中,建立网络安全防火墙,在网络系统的内部和外网之间构建保护屏障。针对事件流的特点,利用事件流中滑动窗口设计算法,采用复合攻击模式方法,对算法进行科学化的测试。
2.2采用系统连接方式检测网络安全基本属性
在入侵检测系统中,直接采用网络连接记录中的基本属性,其检测效果不理想,如果将基于时间的统计特征属性考虑在内,可以提高系统的检测精度。网络安全事件流中异常检测引入数据化理论,将其与关联规则算法结合起来,采用设计化的关联算法来挖掘网络行为的特征,从而提高系统的灵活性和检测精度。异常检测系统中,在建立正常的数据化模式尽可能多得对网络行为进行全面的描述,其中包含出现频率高的模式,也包含低频率的模式。
在网络安全数据集的分析中,发现大多数属性值的分布较稀疏,这意味着对于一个特定的定量属性,其取值可能只包含它的定义域的一个小子集,属性值分布也趋向于不均匀。这些统计特征属性大多是定量属性,传统的挖掘定量属性关联规则的算法是将属性的取值范围离散成不同的区间,然后将其转化为布尔型关联规则算法,这样做会产生明显的边界问题,如果正常或异常略微偏离其规定的范围,系统就会做出错误的判断。网络安全事件本身也具有模糊性,在正常和异常行为之间应当有一个平滑的过渡。
另外,不同的攻击类型产生的日志记录分布情况也不同,某些攻击会产生大量的连续记录,占总记录数的比例很大,而某些攻击只产生一些孤立的记录,占总记录数的比例很小。针对网络数据流中属性值分布,不均匀性和网络事件发生的概率不同的情况,采用关联算法将其与数据逻辑结合起来用于检测系统。实验结果证明,设计算法的引入不仅可以提高异常检测的能力,还显著减少了规则库中规则的数量,提高了网络安全事件异常检测效率。
2.3建立整体的网络安全感知系统,提高异常检测的效率
作为网络安全态势感知系统的一部分,建立整体的网络安全感知系统主要基于netflow的异常检测。为了提高异常检测的效率,解决传统流量分析方法效率低下、单点的问题以及检测对分布式异常检测能力弱的问题。对网络的netflow数据流采用,基于高位端口信息的分布式异常检测算法实现大规模网络异常检测。
通过网络数据设计公式推导出高位端口计算结果,最后采集局域网中的数据,通过对比试验进行验证。大规模网络数据流的特点是数据持续到达、速度快、规模宏大。因此,如何在大规模网络环境下进行检测网络异常并为提供预警信息,是目前需要解决的重要问题。结合入侵检测技术和数据流挖掘技术,提出了一个大规模网络数据流频繁模式挖掘和检测算法,根据“加权欧几里得”距离进行模式匹配。
实验结果表明,该算法可以检测出网络流量异常。为增强网络抵御智能攻击的能力,提出了一种可控可管的网络智能体模型。该网络智能体能够主动识别潜在异常,及时隔离被攻击节点阻止危害扩散,并报告攻击特征实现信息共享。综合网络选择原理和危险理论,提出了一种新的网络智能体训练方法,使其在网络中能更有效的识别节点上的攻击行为。通过分析智能体与对抗模型,表明网络智能体模型能够更好的保障网络安全。
结语:
伴随着计算机和通信技术的迅速发展,伴随着网络用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势的挑战,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全安全检测技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的热点。
参考文献:
[1]沈敬彦.网络安全事件流中异常检测方法[J].重庆师专学报,2000,(4).
【关键词】安全态势感知 关联分析 数据挖掘
随着电力行业计算机和通信技术的迅速发展,伴随着用户需求的不断增加,计算机网络的应用越来越广泛,其规模也越来越庞大。同时,网络安全事件层出不穷,使得计算机网络面临着严峻的信息安全形势,传统的单一的防御设备或者检测设备已经无法满足安全需求。网络安全态势感知(NSSA)技术能够综合各方面的安全因素,从整体上动态反映网络安全状况,并对安全状况的发展趋势进行预测和预警,为增强网络安全性提供可靠的参照依据。因此,针对网络的安全态势感知研究已经成为目前网络安全领域的研究热点。
1 安全态势感知技术
态势感知的定义:一定时间和空间内环境因素的获取,理解和对未来短期的预测。
网络安全态势感知是指在大规模网络环境中,对能够引起网络态势发生变化的安全要素进行获取、理解、显示以及预测未来的发展趋势。所谓网络态势是指由各种网络设备运行状况、网络行为以及用户行为等因素所构成的整个网络当前状态和变化趋势。
国外在网络安全态势感知方面正做着积极的研究,比较有代表性的,如Bass提出应用多传感器数据融合建立网络空间态势感知的框架,通过推理识别入侵者身份、速度、威胁性和入侵目标,进而评估网络空间的安全状态。Shiffiet采用本体论对网络安全态势感知相关概念进行了分析比较研究,并提出基于模块化的技术无关框架结构。其他开展该项研究的个人还有加拿大通信研究中心的DeMontigny-Leboeuf、伊利诺大学香槟分校的Yurcik等。
国内在这方面的研究起步较晚,近年来也有单位在积极探索。冯毅从我军信息与网络安全的角度出发,阐述了我军积极开展网络态势感知研究的必要性和重要性,并指出了两项关键技术―多源传感器数据融合和数据挖掘;北京理工大学机电工程与控制国家蕈点实验窒网络安全分室在分析博弈论中模糊矩阵博弈原理和网络空间威胁评估机理的基础上,提出了基于模糊矩阵博弈的网络安全威胁评估模型及其分析方法,并给出了计算实例与研究展望;哈尔滨工程大学提出关于入侵检测的数据挖掘框架;国防科技大学提出大规模网络的入侵检测;文献中提到西安交通大学网络化系统与信息安全研究中心和清华大学智能与网络化系统研究中心研究提出的基于入侵检测系统(intrusiondetectionsystem,IDS)的海量缶信息和网络性能指标,结合服务、主机本身的重要性及网络系统的组织结构,提出采用自下而上、先局部后整体评估策略的层次化安全威胁态势量化评估方法,并采用该方法在报警发生频率、报警严重性及其网络带宽耗用率的统计基础上,对服务、主机本身的重要性因子进行加权,计算服务、主机以及整个网络系统的威胁指数,进而评估分析安全威胁态势。其他研究工作主要是围绕入侵检测、网络监控、网络应急响应、网络安全预警、网络安全评估等方面开展的,这为开展网络安全态势感知研究奠定了一定的基础。
2 安全策略管理系统的总体设计
本文中网络安全态势感知系统,数据源目前主要是扫描、蜜网、手机病毒和DDoS流量检测及僵木蠕检测系统,其中手机病毒检测主要是感染手机号和疑似URL信息;DDoS主要提供被攻击IP地址和web网站信息以及可能是伪造的攻击源;僵木蠕系统则能够提供僵尸IP、挂马网站和控制主机信息;扫描器能够提供主机和网站脆弱性等信息,并可以部分验证;蜜网可以提供攻击源、样本和攻击目标和行为。根据以上数据源信息通过关联分析技术生成各类关联分析后事件,把事件通过安全策略管理和任务调度管理进行分配,最终通过管理门户进行呈现。系统的结构描述如下。
(1)管理门户主要包括:仪表盘、关联事件、综合查询视图、任务执行状态和系统管理功能。
(2)安全策略管理主要包括安全策略管理和指标管理。
(3)关联分析根据采集平台采集到的DDOS、僵木蠕、手机病毒、蜜网和IPS事件通过规则关联分析、统计关联分析和漏洞关联规则分析生成各类关联分析后事件。
(4)任务管理包括任务的自动生成、手动生成、任务下发和任务核查等功能。
(5)数据库部分存储原始事件、关联分析后事件、各种策略规则和不同的安全知识库。
(6)新资产发现模块。
3 系统组成结构
安全态势感知平台系统结构如图1所示。
3.1 管理门户
管理门户集成了系统的一些摘要信息、个人需要集中操作/处理的功能部分;它包括态势仪表盘(Dashboard)、个人工作台、综合查询视图、系统任务执行情况以及系统管理功能。
(1)态势仪表盘提供了监控范围内的整体安全态势整体展现,以地图形式展现网络安全形势,详细显示低于的安全威胁、弱点和风险情况,展示完成的扫描任务情况和扫描发现的漏洞的基本情况,系统层面的扫描和web扫描分开展示,展示新设备上线及其漏洞的发现。
(2)个人工作台关联事件分布地图以全国地图的形式向用户展现当前系统内关联事件的情况――每个地域以关联事件的不同级别(按最高)显示其情况,以列表的形式向用户展现系统内的关联事件。
(3)综合查询视图包含关联事件的查询和漏洞查询。关联事件的查询可以通过指定的字段对事件的相关信息进行查询。漏洞查询的查询条件:包括时间段、IP段(可支持多个段同时查询)、漏洞名称、级别等;结果以IP为列表,点击详情可按时间倒序查询历史扫描。
(4)执行任务状态,给出最近(一日、一天或一周)执行的扫描任务(系统)以及关联事件验证任务(扫描和爬虫等)的执行情况;在执行情况中需说明任务是在执行还是已经结束、是什么时候开始和结束的、扫描的内容是哪些IP。
(5)系统管理包括用户管理、授权管理、口令管理三部分,用户分为三种:系统管理员、操作员、审计员;系统管理员可以创建系统管理员和操作员,但审计员只能创建审计员;系统初始具有一个系统管理员和一个审计员。授权管理对于一般用户,系统可以对他的操作功能进行授权。授权粒度明细到各个功能点。功能点的集合为角色。口令策略能定义、修改、删除用户口令策略,策略中包括口令长度、组成情况(数字、字母、特殊字符的组成)、过期的时间长度、是否能和最近3次的口令设置相同等。
3.2 知识库
知识库包括事件特征库、关联分析库、僵木蠕库、漏洞库、手机病毒库等,可以通过事件、漏洞、告警等关联到知识库获得对以上信息的说明及处理建议,并通过知识库学习相关安全知识,同时还提供知识库的更新服务。
(1)事件特征库中,可以对威胁、事件进行定义,要求对事件的特征、影响、严重程度、处理建议等进行详细的说明。
(2)关联分析库提供大量内置的关联规则,这些关联规则是经过验证的、可以解决某类安全问题的成熟规则,内置规则可以直接使用;也可以利用这些内置的关联规则进行各种组合生成新的、复杂的关联规则。
(3)僵木蠕库是专门针对僵尸网络、木马、蠕虫的知识库,对各种僵尸网络、木马、蠕虫的特征进行定义,对问题提出处理建议。
(4)手机病毒库,实现收集病毒库的添加、删除、修改等操作。
(5)IP信誉库数据包含恶意IP地址、恶意URL等。
(6)安全漏洞信息库提供对漏洞的定义,对漏洞的特征、影响、严重程度、处理建议等进行详细的说明。
3.3 任务调度管理
任务调度管理是通过将安全策略进行组合形成安全任务计划,并针对任务调度计划实现管理、下发等功能,到达针对由安全事件和漏洞等进行关联分析后产生的重要级别安全分析后事件的漏扫和爬虫抓取等任务管理,以实现自动调度任务的目标。
任务调度管理功能框架包括:调度任务生成、调度任务配置、任务下发、任务执行管理和任务核查功能。
任务调动管理功能模块框架如图2所示。
(1)任务调度能够展现提供统一的信息展示和功能入口界面,直观地显示任务调度后台管理执行的数据内容。
(2)任务调度管理包括根据安全策略自动生成的任务和手动创建的调度任务。
(3)任务调度管理功能包括任务下发和任务核查,任务执行功能将自动生成的和手动创建完成的调度任务通过任务下发和返回接口将不同类型的安全任务下发给漏洞扫描器等。
(4)自动生成和手动创建的安全任务要包括执行时间、执行周期和类型等安全配置项。
(5)任务计划核查功能对任务运行结果进行分析、判断、汇总。每一个任务的核查结果包括:任务名、结果(成功、失败)、执行时间、运行状态、进度、出错原因等。
3.4 策略管理
策略管理包括安全策略管理和指标管理两部分功能,策略管理针对重要关联分析后安全事件和重要安全态势分析后扩散事件以及发现新上线设备等维护安全策略,目标是当系统关注的重点关联分析后事件和大规模扩散病毒发生后或者新上线设备并且匹配安全策略自动生成安任务;指标管理维护平台中不同类型重点关注关联分析后事件的排名和权重等指标。
策略管理功能模块框架如图3所示。
策略管理对系统的安全策略进行维护,包括针对重要关联分析后事件、重要安全态势分析后扩散事件、发现新上线设备的安全策略,当系统中有匹配安全策略的重要关联分析后事件生成时调用安全任务管理模块自动触发安全调度任务。
指标管理对系统接收的各类安全事件、漏洞、手机病毒等进行关联分析处理,生成关联分析后事件,从而有效的了解安全情况和安全态势,指标管理对系统中不同类型重点关注关联分析后事件的排名和权重等指标进行维护管理。
3.5 关联分析
安全分析功能利用统计分析、关联分析、数据挖掘等技术,从宏观和微观两个层面,对网络与信息安全事件监测数据进行综合分析,实现对当前的安全事件、历史事件信息进行全面、有效的分析处理,通过多种分析模型以掌握信息安全态势、安全威胁和事件预报等,为信息安全管理提供决策依据。对于宏观安全态势监测,需要建立好各种分析模型,有针对性的模型才能把宏观安全态势监测做到实处,给用户提供真正的价值。同时也不能只关注“面”而放弃了“点”的关注,在实际应用中,我们更需要对系统采集到的各类安全信息进行关联分析,并对具体IP的事件和漏洞做分析和处理。
关联分析完成各种安全关联分析功能,关联分析能够将原始的安全子系统事件进行分析归纳为典型安全事件类别,从而更快速地识别当前威胁的性质。系统提供三种关联分析类型:基于规则的事件关联分析、统计关联分析和漏洞关联分析。根据此关联分析模块的功能,结合事件的特征和安全监测策略,制定相关的特定关联分析规则。
(1)事件关联分析对暗含攻击行为的安全事件序列建立关联性规则表达式,系统能够使用该关联性规则表达式,对收集到的安全事件进行检查,确定该事件是否和特定的规则匹配。可对僵尸、木马、蠕虫、DDOS异常流量、手机病毒、漏洞等安全事件序列建立关联。
(2)漏洞关联分析漏洞关联分析的目的在于要识别出假报警,同时为那些尚未确定是否为假肯定或假警报的事件分配一个置信等级。这种方法的主要优点在于,它能极大提高威胁运算的有效性并可提供适用于自动响应和/或告警的事件。
(3)统计关联可以根据实际情况定义事件的触发条件,对每个类别的事件设定一个合理的阀值然后统计所发生的事件,如果在一定时间内发生的事件符合所定义的条件则触发关联事件。
4 结语
本文主要的信息安全建设中的安全态势感知系统进行了具体设计,详细定义了系统的基本功能,对系统各个模块的实现方式进行了详细设计。系统通过对地址熵模型、三元组模型、热点事件传播模型、事件扩散模型、端口流量模型、协议流量模型和异常流量监测模型各种模型的研究来实现平台对安全态势与趋势分析、安全防护预警与决策。
根据系统组成与网络结构初步分析,安全态势感知平台将系统安全事件表象归类为业务数据篡改、业务数据删除、业务中断等,这些表象可能因为哪些安全事件造成,请见表1内容。
以系统的FTP弱口令为例,FTP服务和oracle服务运行在服务器操作系统,当攻击者利用ftp口令探测技术,发现弱口令后,通过生产网的网络设备,访问到FTP服务器,使用FTP口令B接FTP服务,并对上传的数据文件删除或替换操作,对业务的影响表现为,业务数据篡改或业务数据丢失。
安全态势感知平台FTP弱口令的事件关联规则示例:
关键词:安全事件管理器;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献: