網(wǎng)絡(luò)安全事件的實時關(guān)聯(lián)技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)及其應(yīng)用的發(fā)展，人們對網(wǎng)絡(luò)的依賴越來越強(qiáng)，網(wǎng)絡(luò)連接的資產(chǎn)越來越巨大；與此同時，網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)也日益嚴(yán)峻，惡意攻擊所引起的安全事故時有發(fā)生，損失巨大。企業(yè)、組織為保護(hù)自己的網(wǎng)絡(luò)系統(tǒng)，部署了越來越多的安全產(chǎn)品（如入侵檢測系統(tǒng)、防火墻、防病毒系統(tǒng)等），但應(yīng)用這些產(chǎn)品不僅遠(yuǎn)未達(dá)到人們的期望，而且還衍生了新的問題。這些安全產(chǎn)品產(chǎn)生的安全事件(各種告警、安全日志等數(shù)據(jù))數(shù)量巨大、并伴有嚴(yán)重的誤報或漏報，不能作為響應(yīng)的直接依據(jù)。結(jié)果

2、是，既很難從泛濫的安全事件中分析出真正的危險狀態(tài)，也不能實時發(fā)現(xiàn)或預(yù)測攻擊。 當(dāng)前，為解決上述問題而提出的多種關(guān)聯(lián)技術(shù)盡管各有成效，但仍然存在嚴(yán)重不足。主要表現(xiàn)在以下幾個方面：一是概念含混不清，缺乏全局關(guān)聯(lián)視角上的考慮和定義。二是缺乏實時關(guān)聯(lián)的解決方案。一些聚合方法要么離線作用，要么在線卻難以確定諸多參數(shù)更不能實現(xiàn)有效的實時預(yù)警。三是是沒有建立在較高級別安全事件基礎(chǔ)上的實時動態(tài)定量風(fēng)險評估體系和方法。因此，對巨量安全事件進(jìn)行實時

3、關(guān)聯(lián)分析，有效地識別出真正的安全風(fēng)險或威脅，對網(wǎng)絡(luò)安全具有非常重要的意義。 對國內(nèi)外網(wǎng)絡(luò)安全事件關(guān)聯(lián)方法進(jìn)行了歸納和分類，將它們概括為分類、聚合、序列關(guān)聯(lián)、交叉關(guān)聯(lián)和其它五大類。從全局關(guān)聯(lián)視角上給出了網(wǎng)絡(luò)安全事件關(guān)聯(lián)的相關(guān)定義。網(wǎng)絡(luò)安全事件關(guān)聯(lián)也可稱之為廣義的入侵檢測（高層次的入侵檢測或后入侵檢測），是針對網(wǎng)絡(luò)安全事件處理中存在的問題而提出的一套特定的數(shù)據(jù)關(guān)聯(lián)方法，它將不同空間來源和不同時間序列的安全事件與具體的網(wǎng)絡(luò)環(huán)境結(jié)合在一

4、起，通過分析網(wǎng)絡(luò)安全事件之間以及安全事件與其環(huán)境之間的關(guān)系，來減少誤報，彌補(bǔ)漏報，確認(rèn)攻擊。指出了網(wǎng)絡(luò)安全事件之間存在冗余、序列、并列和環(huán)境匹配四種關(guān)系以及關(guān)聯(lián)處理系統(tǒng)的評估問題等。深入剖析了典型的開源關(guān)聯(lián)系統(tǒng)OSSIM，指出了其四點改進(jìn)方向。這些基礎(chǔ)性的工作為網(wǎng)絡(luò)安全事件實時關(guān)聯(lián)的系統(tǒng)設(shè)計奠定了理論基礎(chǔ)。 設(shè)計了網(wǎng)絡(luò)安全事件實時關(guān)聯(lián)的系統(tǒng)綜合解決方案——NSICMS。該方案以“立足全局、積極主動、面向?qū)ο?、不斷?yōu)化”作為基本指

5、導(dǎo)思想，以“減少安全事件數(shù)量，提高安全事件質(zhì)量，實時檢測和預(yù)測攻擊，保護(hù)受控網(wǎng)絡(luò)”作為基本目標(biāo)。方案繼承了PDR動態(tài)模型的基本思想，以“分區(qū)管理，縱深防御；可控可管，實時聯(lián)動；隱藏偽裝，虛實結(jié)合；不斷加固，提高抵抗力”等積極主動的措施作為網(wǎng)絡(luò)安全事件關(guān)聯(lián)處理的基礎(chǔ)，這些基礎(chǔ)可以大大減少送往上層關(guān)聯(lián)處理安全事件的數(shù)量。NSICMS是一個網(wǎng)絡(luò)安全事件關(guān)聯(lián)處理網(wǎng)絡(luò)，它集成了針對不同安全事件關(guān)系的實時關(guān)聯(lián)處理方法，如實時聚合、實時交叉關(guān)聯(lián)、實時

6、序列關(guān)聯(lián)以及實時風(fēng)險評估等。 提出了網(wǎng)絡(luò)安全事件實時聚合方法。該聚合方法以受控網(wǎng)絡(luò)節(jié)點為研究對象，簡化了關(guān)聯(lián)的具體內(nèi)容；使用緩存中節(jié)點超安全事件的表示方法，保證了實時性；使用弱隊列長度代替時間窗口，弱化了時間窗口的概念，解決了常用的聚合算法中時間參數(shù)難于確定的問題。該聚合方法能實時地為后續(xù)關(guān)聯(lián)處理提供高質(zhì)量超安全事件，沒有難于確定的參數(shù)，丟掉了“聚合率”這種非實時的概念，它的一些思想和概念是全新的，如聚合粒度的定義，以弱隊列窗口

7、代替時間窗口等。 提出了安全事件序列的實時關(guān)聯(lián)方法。該方法針對多步攻擊提出，以實時聚合和交叉關(guān)聯(lián)結(jié)果作為基礎(chǔ)，可以提前預(yù)測攻擊，發(fā)現(xiàn)協(xié)作的多步攻擊。它使用挖掘、驗證后的多步攻擊模式，通過實時超安全事件匹配以實現(xiàn)攻擊預(yù)警。該方法中的攻擊場景模式挖掘算法采用全新的挖掘數(shù)據(jù)集，克服了直接從告警數(shù)據(jù)中挖掘場景帶來的問題；實時超安全事件匹配預(yù)警算法克服了思維定勢帶來的漏預(yù)警問題。 提出了實時動態(tài)定量風(fēng)險評估方法。該方法以網(wǎng)絡(luò)安全事