面向大規(guī)模網(wǎng)絡(luò)的集中安全審計(jì)系統(tǒng)關(guān)鍵技術(shù)研究.pdf

1、在過去的幾年中安全技術(shù)取得的了長足的發(fā)展，涌現(xiàn)出大量安全設(shè)備，但是由于缺乏統(tǒng)一的業(yè)界標(biāo)準(zhǔn)，難于實(shí)現(xiàn)設(shè)備的統(tǒng)一管理，設(shè)備間的信息交互更是難于實(shí)現(xiàn)，導(dǎo)致了設(shè)備間的信息鴻溝。　　其中事件管理便是最大的難點(diǎn)，更是實(shí)現(xiàn)安全事件快速響應(yīng)的關(guān)鍵。通常情況下一個(gè)企業(yè)網(wǎng)絡(luò)的事件產(chǎn)生峰值在每秒6000條以上，遠(yuǎn)超出人工實(shí)時(shí)審計(jì)的極限，IDS等網(wǎng)絡(luò)設(shè)備的誤報(bào)率據(jù)高不下，管理員被海量數(shù)據(jù)淹沒導(dǎo)致無法對重要安全事件做出及時(shí)響應(yīng)?！　〖袑徲?jì)系統(tǒng)的設(shè)計(jì)旨在解決

2、以上難題，對各種網(wǎng)絡(luò)事件進(jìn)行集中管理。通過事件的關(guān)聯(lián)分析，追蹤和還原攻擊場景，提供事件的自動響應(yīng)機(jī)制。集中安全審計(jì)系統(tǒng)對于安全事件的處理是一個(gè)由原始數(shù)據(jù)收集到發(fā)現(xiàn)知識直至采取適當(dāng)措施的過程。作者在論文中給出了各階段關(guān)鍵技術(shù)的研究與實(shí)現(xiàn)，所做工作、技術(shù)難點(diǎn)與創(chuàng)新處如下：　　1.高可擴(kuò)展性及可靠性的設(shè)計(jì)模式：系統(tǒng)采用了微內(nèi)核(MicroKernel)模式，并且通過ServiceLocator模式實(shí)現(xiàn)調(diào)用者與實(shí)現(xiàn)者的解偶，從而實(shí)現(xiàn)微內(nèi)核容器

3、和插件。系統(tǒng)中的微內(nèi)核形成了一條軟總線，通過增加插件模式的安全中間件可以支持不斷出現(xiàn)的各種安全設(shè)備。　　2.對象池技術(shù)：面對系統(tǒng)中的大量短任務(wù)及數(shù)據(jù)訪問請求，系統(tǒng)通過建立對象及線程緩沖池，來減少對象創(chuàng)建及銷毀時(shí)的消耗，提高響應(yīng)速度?！　?.事件收集及歸一化：審計(jì)系統(tǒng)通過Syslog、SNMP、文件或是API等收集不同設(shè)備和系統(tǒng)的事件。為了靈活便捷的實(shí)現(xiàn)對不同日志的解析，作者采用LEX輔助自動生成日志解析程序。日志的歸一化是集中保存和

4、關(guān)聯(lián)分析的前提，文中作者給出了兼顧效率及可擴(kuò)展性的歸一化結(jié)構(gòu)?！　?.事件的關(guān)聯(lián)分析：目前IDS的高誤報(bào)率已成為安全管理面對難題。集中安全審計(jì)系統(tǒng)作為比IDS、防病毒網(wǎng)關(guān)、防火墻等安全設(shè)備更高層次的安全系統(tǒng)，可以通過有效的關(guān)聯(lián)全網(wǎng)的安全事件從而給出更加精確的判斷，同時(shí)有效的分析攻擊的有效性，減少安全管理員的分析工作。作者采用狀態(tài)機(jī)技術(shù)與自行設(shè)計(jì)的基于XML的攻擊場景描述語言，實(shí)現(xiàn)了不同事件的實(shí)時(shí)關(guān)聯(lián)及攻擊場景的還原。在事后分析技術(shù)上，