事件告警分析引擎的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、隨著網(wǎng)絡(luò)規(guī)模的擴(kuò)大和網(wǎng)絡(luò)應(yīng)用的豐富，網(wǎng)絡(luò)活動(dòng)正呈級(jí)數(shù)增加，為了應(yīng)對(duì)隨之而來(lái)的安全問(wèn)題，出現(xiàn)了防火墻、IDS(入侵檢測(cè)系統(tǒng))、AV(防病毒系統(tǒng))等多種安全防護(hù)技術(shù)。事實(shí)上，在一個(gè)常見(jiàn)的網(wǎng)絡(luò)部署中，除了路由器、Web及Ftp服務(wù)器、主機(jī)等常規(guī)設(shè)備以外，往往也囊括了上述提及的所有安全設(shè)備。一方面，具有不同技術(shù)側(cè)重的安全設(shè)備從不同的角度滿(mǎn)足了安全需求，而另一方面形式多樣的產(chǎn)品形態(tài)也給網(wǎng)絡(luò)安全管理帶來(lái)了巨大障礙。在傳統(tǒng)的安全分析方法中，總是以人工

2、的方式通過(guò)分析相關(guān)安全設(shè)備的日志來(lái)獲取特定的安全相關(guān)信息，這種方式在每天以GB為單位的日志量條件下已完全失去意義。因此，無(wú)論是局域網(wǎng)絡(luò)還是廣域網(wǎng)絡(luò)，都迫切需要一個(gè)自動(dòng)的、綜合的安全分析解決方案來(lái)對(duì)網(wǎng)絡(luò)進(jìn)行集中管理。 然而，在復(fù)雜的網(wǎng)絡(luò)環(huán)境下對(duì)缺乏集成、缺乏互操作性的不同軟硬件產(chǎn)品提供一個(gè)統(tǒng)一的安全管理平臺(tái)并非易事。怎樣從形式不一的設(shè)備日志中摘取感興趣的信息、怎樣將可能的事件關(guān)聯(lián)起來(lái)從而發(fā)現(xiàn)網(wǎng)絡(luò)正在發(fā)生的事情、怎樣對(duì)檢測(cè)到的安全狀

3、況做出處理，這些都是一個(gè)集中安全分析方案所必須面對(duì)的問(wèn)題。 本文從安全事件關(guān)聯(lián)分析的角度對(duì)上述問(wèn)題進(jìn)行了研究。文章以傳統(tǒng)的入侵檢測(cè)技術(shù)為起點(diǎn)，對(duì)現(xiàn)有事件關(guān)聯(lián)分析技術(shù)中基于編碼的關(guān)聯(lián)技術(shù)、基于推理的關(guān)聯(lián)技術(shù)、基于形式語(yǔ)言的關(guān)聯(lián)技術(shù)進(jìn)行了深入探討，對(duì)現(xiàn)有技術(shù)存在的缺陷與不足進(jìn)行了分析。針對(duì)現(xiàn)有方案中理論探討過(guò)多，而缺少實(shí)質(zhì)性關(guān)聯(lián)實(shí)施技術(shù)的現(xiàn)狀，本文設(shè)計(jì)了一套進(jìn)行安全事件關(guān)聯(lián)分析的具體實(shí)施方案，并將準(zhǔn)確性、通用性、實(shí)時(shí)性和安全性作為安

4、全分析技術(shù)的首要考慮因素。整個(gè)方案涵蓋了事件采集與歸一化、重復(fù)事件匯總、異構(gòu)事件源關(guān)聯(lián)、告警與漏洞信息關(guān)聯(lián)等。在此基礎(chǔ)上，本文提出了一種基于語(yǔ)義嵌套規(guī)則的關(guān)聯(lián)分析技術(shù)，給出了相應(yīng)的匹配算法及偽碼實(shí)現(xiàn)。由測(cè)試得到的實(shí)驗(yàn)數(shù)據(jù)可以看到，該分析技術(shù)在性能及分析效果上都有較為滿(mǎn)意的表現(xiàn)。 以上述理論探索及實(shí)踐為基礎(chǔ)，依托國(guó)家863多數(shù)據(jù)源強(qiáng)審計(jì)項(xiàng)目的實(shí)際需求，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)基于JMX框架的企業(yè)級(jí)事件分析引擎，該引擎在安全上實(shí)現(xiàn)了權(quán)限認(rèn)證