網(wǎng)絡(luò)安全事件的實(shí)時(shí)關(guān)聯(lián)技術(shù)研究.pdf

1、隨著網(wǎng)絡(luò)及其應(yīng)用的發(fā)展，人們對(duì)網(wǎng)絡(luò)的依賴越來越強(qiáng)，網(wǎng)絡(luò)連接的資產(chǎn)越來越巨大；與此同時(shí)，網(wǎng)絡(luò)安全領(lǐng)域所面臨的挑戰(zhàn)也日益嚴(yán)峻，惡意攻擊所引起的安全事故時(shí)有發(fā)生，損失巨大。企業(yè)、組織為保護(hù)自己的網(wǎng)絡(luò)系統(tǒng)，部署了越來越多的安全產(chǎn)品（如入侵檢測(cè)系統(tǒng)、防火墻、防病毒系統(tǒng)等），但應(yīng)用這些產(chǎn)品不僅遠(yuǎn)未達(dá)到人們的期望，而且還衍生了新的問題。這些安全產(chǎn)品產(chǎn)生的安全事件(各種告警、安全日志等數(shù)據(jù))數(shù)量巨大、并伴有嚴(yán)重的誤報(bào)或漏報(bào)，不能作為響應(yīng)的直接依據(jù)。結(jié)果

2、是，既很難從泛濫的安全事件中分析出真正的危險(xiǎn)狀態(tài)，也不能實(shí)時(shí)發(fā)現(xiàn)或預(yù)測(cè)攻擊。 當(dāng)前，為解決上述問題而提出的多種關(guān)聯(lián)技術(shù)盡管各有成效，但仍然存在嚴(yán)重不足。主要表現(xiàn)在以下幾個(gè)方面：一是概念含混不清，缺乏全局關(guān)聯(lián)視角上的考慮和定義。二是缺乏實(shí)時(shí)關(guān)聯(lián)的解決方案。一些聚合方法要么離線作用，要么在線卻難以確定諸多參數(shù)更不能實(shí)現(xiàn)有效的實(shí)時(shí)預(yù)警。三是是沒有建立在較高級(jí)別安全事件基礎(chǔ)上的實(shí)時(shí)動(dòng)態(tài)定量風(fēng)險(xiǎn)評(píng)估體系和方法。因此，對(duì)巨量安全事件進(jìn)行實(shí)時(shí)

3、關(guān)聯(lián)分析，有效地識(shí)別出真正的安全風(fēng)險(xiǎn)或威脅，對(duì)網(wǎng)絡(luò)安全具有非常重要的意義。 對(duì)國(guó)內(nèi)外網(wǎng)絡(luò)安全事件關(guān)聯(lián)方法進(jìn)行了歸納和分類，將它們概括為分類、聚合、序列關(guān)聯(lián)、交叉關(guān)聯(lián)和其它五大類。從全局關(guān)聯(lián)視角上給出了網(wǎng)絡(luò)安全事件關(guān)聯(lián)的相關(guān)定義。網(wǎng)絡(luò)安全事件關(guān)聯(lián)也可稱之為廣義的入侵檢測(cè)（高層次的入侵檢測(cè)或后入侵檢測(cè)），是針對(duì)網(wǎng)絡(luò)安全事件處理中存在的問題而提出的一套特定的數(shù)據(jù)關(guān)聯(lián)方法，它將不同空間來源和不同時(shí)間序列的安全事件與具體的網(wǎng)絡(luò)環(huán)境結(jié)合在一

4、起，通過分析網(wǎng)絡(luò)安全事件之間以及安全事件與其環(huán)境之間的關(guān)系，來減少誤報(bào)，彌補(bǔ)漏報(bào)，確認(rèn)攻擊。指出了網(wǎng)絡(luò)安全事件之間存在冗余、序列、并列和環(huán)境匹配四種關(guān)系以及關(guān)聯(lián)處理系統(tǒng)的評(píng)估問題等。深入剖析了典型的開源關(guān)聯(lián)系統(tǒng)OSSIM，指出了其四點(diǎn)改進(jìn)方向。這些基礎(chǔ)性的工作為網(wǎng)絡(luò)安全事件實(shí)時(shí)關(guān)聯(lián)的系統(tǒng)設(shè)計(jì)奠定了理論基礎(chǔ)。 設(shè)計(jì)了網(wǎng)絡(luò)安全事件實(shí)時(shí)關(guān)聯(lián)的系統(tǒng)綜合解決方案——NSICMS。該方案以“立足全局、積極主動(dòng)、面向?qū)ο?、不斷?yōu)化”作為基本指

5、導(dǎo)思想，以“減少安全事件數(shù)量，提高安全事件質(zhì)量，實(shí)時(shí)檢測(cè)和預(yù)測(cè)攻擊，保護(hù)受控網(wǎng)絡(luò)”作為基本目標(biāo)。方案繼承了PDR動(dòng)態(tài)模型的基本思想，以“分區(qū)管理，縱深防御；可控可管，實(shí)時(shí)聯(lián)動(dòng)；隱藏偽裝，虛實(shí)結(jié)合；不斷加固，提高抵抗力”等積極主動(dòng)的措施作為網(wǎng)絡(luò)安全事件關(guān)聯(lián)處理的基礎(chǔ)，這些基礎(chǔ)可以大大減少送往上層關(guān)聯(lián)處理安全事件的數(shù)量。NSICMS是一個(gè)網(wǎng)絡(luò)安全事件關(guān)聯(lián)處理網(wǎng)絡(luò)，它集成了針對(duì)不同安全事件關(guān)系的實(shí)時(shí)關(guān)聯(lián)處理方法，如實(shí)時(shí)聚合、實(shí)時(shí)交叉關(guān)聯(lián)、實(shí)時(shí)

6、序列關(guān)聯(lián)以及實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估等。 提出了網(wǎng)絡(luò)安全事件實(shí)時(shí)聚合方法。該聚合方法以受控網(wǎng)絡(luò)節(jié)點(diǎn)為研究對(duì)象，簡(jiǎn)化了關(guān)聯(lián)的具體內(nèi)容；使用緩存中節(jié)點(diǎn)超安全事件的表示方法，保證了實(shí)時(shí)性；使用弱隊(duì)列長(zhǎng)度代替時(shí)間窗口，弱化了時(shí)間窗口的概念，解決了常用的聚合算法中時(shí)間參數(shù)難于確定的問題。該聚合方法能實(shí)時(shí)地為后續(xù)關(guān)聯(lián)處理提供高質(zhì)量超安全事件，沒有難于確定的參數(shù)，丟掉了“聚合率”這種非實(shí)時(shí)的概念，它的一些思想和概念是全新的，如聚合粒度的定義，以弱隊(duì)列窗口

7、代替時(shí)間窗口等。 提出了安全事件序列的實(shí)時(shí)關(guān)聯(lián)方法。該方法針對(duì)多步攻擊提出，以實(shí)時(shí)聚合和交叉關(guān)聯(lián)結(jié)果作為基礎(chǔ)，可以提前預(yù)測(cè)攻擊，發(fā)現(xiàn)協(xié)作的多步攻擊。它使用挖掘、驗(yàn)證后的多步攻擊模式，通過實(shí)時(shí)超安全事件匹配以實(shí)現(xiàn)攻擊預(yù)警。該方法中的攻擊場(chǎng)景模式挖掘算法采用全新的挖掘數(shù)據(jù)集，克服了直接從告警數(shù)據(jù)中挖掘場(chǎng)景帶來的問題；實(shí)時(shí)超安全事件匹配預(yù)警算法克服了思維定勢(shì)帶來的漏預(yù)警問題。 提出了實(shí)時(shí)動(dòng)態(tài)定量風(fēng)險(xiǎn)評(píng)估方法。該方法以網(wǎng)絡(luò)安全事