事件告警分析引擎的設計與實現(xiàn).pdf

1、隨著網(wǎng)絡規(guī)模的擴大和網(wǎng)絡應用的豐富，網(wǎng)絡活動正呈級數(shù)增加，為了應對隨之而來的安全問題，出現(xiàn)了防火墻、IDS(入侵檢測系統(tǒng))、AV(防病毒系統(tǒng))等多種安全防護技術(shù)。事實上，在一個常見的網(wǎng)絡部署中，除了路由器、Web及Ftp服務器、主機等常規(guī)設備以外，往往也囊括了上述提及的所有安全設備。一方面，具有不同技術(shù)側(cè)重的安全設備從不同的角度滿足了安全需求，而另一方面形式多樣的產(chǎn)品形態(tài)也給網(wǎng)絡安全管理帶來了巨大障礙。在傳統(tǒng)的安全分析方法中，總是以人工

2、的方式通過分析相關(guān)安全設備的日志來獲取特定的安全相關(guān)信息，這種方式在每天以GB為單位的日志量條件下已完全失去意義。因此，無論是局域網(wǎng)絡還是廣域網(wǎng)絡，都迫切需要一個自動的、綜合的安全分析解決方案來對網(wǎng)絡進行集中管理。 然而，在復雜的網(wǎng)絡環(huán)境下對缺乏集成、缺乏互操作性的不同軟硬件產(chǎn)品提供一個統(tǒng)一的安全管理平臺并非易事。怎樣從形式不一的設備日志中摘取感興趣的信息、怎樣將可能的事件關(guān)聯(lián)起來從而發(fā)現(xiàn)網(wǎng)絡正在發(fā)生的事情、怎樣對檢測到的安全狀

3、況做出處理，這些都是一個集中安全分析方案所必須面對的問題。 本文從安全事件關(guān)聯(lián)分析的角度對上述問題進行了研究。文章以傳統(tǒng)的入侵檢測技術(shù)為起點，對現(xiàn)有事件關(guān)聯(lián)分析技術(shù)中基于編碼的關(guān)聯(lián)技術(shù)、基于推理的關(guān)聯(lián)技術(shù)、基于形式語言的關(guān)聯(lián)技術(shù)進行了深入探討，對現(xiàn)有技術(shù)存在的缺陷與不足進行了分析。針對現(xiàn)有方案中理論探討過多，而缺少實質(zhì)性關(guān)聯(lián)實施技術(shù)的現(xiàn)狀，本文設計了一套進行安全事件關(guān)聯(lián)分析的具體實施方案，并將準確性、通用性、實時性和安全性作為安

4、全分析技術(shù)的首要考慮因素。整個方案涵蓋了事件采集與歸一化、重復事件匯總、異構(gòu)事件源關(guān)聯(lián)、告警與漏洞信息關(guān)聯(lián)等。在此基礎上，本文提出了一種基于語義嵌套規(guī)則的關(guān)聯(lián)分析技術(shù)，給出了相應的匹配算法及偽碼實現(xiàn)。由測試得到的實驗數(shù)據(jù)可以看到，該分析技術(shù)在性能及分析效果上都有較為滿意的表現(xiàn)。 以上述理論探索及實踐為基礎，依托國家863多數(shù)據(jù)源強審計項目的實際需求，設計并實現(xiàn)了一個基于JMX框架的企業(yè)級事件分析引擎，該引擎在安全上實現(xiàn)了權(quán)限認證