網絡安全事件的實時關聯技術研究.pdf

1、隨著網絡及其應用的發(fā)展，人們對網絡的依賴越來越強，網絡連接的資產越來越巨大；與此同時，網絡安全領域所面臨的挑戰(zhàn)也日益嚴峻，惡意攻擊所引起的安全事故時有發(fā)生，損失巨大。企業(yè)、組織為保護自己的網絡系統(tǒng)，部署了越來越多的安全產品（如入侵檢測系統(tǒng)、防火墻、防病毒系統(tǒng)等），但應用這些產品不僅遠未達到人們的期望，而且還衍生了新的問題。這些安全產品產生的安全事件(各種告警、安全日志等數據)數量巨大、并伴有嚴重的誤報或漏報，不能作為響應的直接依據。結果

2、是，既很難從泛濫的安全事件中分析出真正的危險狀態(tài)，也不能實時發(fā)現或預測攻擊。 當前，為解決上述問題而提出的多種關聯技術盡管各有成效，但仍然存在嚴重不足。主要表現在以下幾個方面：一是概念含混不清，缺乏全局關聯視角上的考慮和定義。二是缺乏實時關聯的解決方案。一些聚合方法要么離線作用，要么在線卻難以確定諸多參數更不能實現有效的實時預警。三是是沒有建立在較高級別安全事件基礎上的實時動態(tài)定量風險評估體系和方法。因此，對巨量安全事件進行實時

3、關聯分析，有效地識別出真正的安全風險或威脅，對網絡安全具有非常重要的意義。 對國內外網絡安全事件關聯方法進行了歸納和分類，將它們概括為分類、聚合、序列關聯、交叉關聯和其它五大類。從全局關聯視角上給出了網絡安全事件關聯的相關定義。網絡安全事件關聯也可稱之為廣義的入侵檢測（高層次的入侵檢測或后入侵檢測），是針對網絡安全事件處理中存在的問題而提出的一套特定的數據關聯方法，它將不同空間來源和不同時間序列的安全事件與具體的網絡環(huán)境結合在一

4、起，通過分析網絡安全事件之間以及安全事件與其環(huán)境之間的關系，來減少誤報，彌補漏報，確認攻擊。指出了網絡安全事件之間存在冗余、序列、并列和環(huán)境匹配四種關系以及關聯處理系統(tǒng)的評估問題等。深入剖析了典型的開源關聯系統(tǒng)OSSIM，指出了其四點改進方向。這些基礎性的工作為網絡安全事件實時關聯的系統(tǒng)設計奠定了理論基礎。 設計了網絡安全事件實時關聯的系統(tǒng)綜合解決方案——NSICMS。該方案以“立足全局、積極主動、面向對象、不斷優(yōu)化”作為基本指

5、導思想，以“減少安全事件數量，提高安全事件質量，實時檢測和預測攻擊，保護受控網絡”作為基本目標。方案繼承了PDR動態(tài)模型的基本思想，以“分區(qū)管理，縱深防御；可控可管，實時聯動；隱藏偽裝，虛實結合；不斷加固，提高抵抗力”等積極主動的措施作為網絡安全事件關聯處理的基礎，這些基礎可以大大減少送往上層關聯處理安全事件的數量。NSICMS是一個網絡安全事件關聯處理網絡，它集成了針對不同安全事件關系的實時關聯處理方法，如實時聚合、實時交叉關聯、實時

6、序列關聯以及實時風險評估等。 提出了網絡安全事件實時聚合方法。該聚合方法以受控網絡節(jié)點為研究對象，簡化了關聯的具體內容；使用緩存中節(jié)點超安全事件的表示方法，保證了實時性；使用弱隊列長度代替時間窗口，弱化了時間窗口的概念，解決了常用的聚合算法中時間參數難于確定的問題。該聚合方法能實時地為后續(xù)關聯處理提供高質量超安全事件，沒有難于確定的參數，丟掉了“聚合率”這種非實時的概念，它的一些思想和概念是全新的，如聚合粒度的定義，以弱隊列窗口

7、代替時間窗口等。 提出了安全事件序列的實時關聯方法。該方法針對多步攻擊提出，以實時聚合和交叉關聯結果作為基礎，可以提前預測攻擊，發(fā)現協(xié)作的多步攻擊。它使用挖掘、驗證后的多步攻擊模式，通過實時超安全事件匹配以實現攻擊預警。該方法中的攻擊場景模式挖掘算法采用全新的挖掘數據集，克服了直接從告警數據中挖掘場景帶來的問題；實時超安全事件匹配預警算法克服了思維定勢帶來的漏預警問題。 提出了實時動態(tài)定量風險評估方法。該方法以網絡安全事