基于STAT技術(shù)的安全事件管理系統(tǒng)的研究與實(shí)現(xiàn).pdf

1、隨著互聯(lián)網(wǎng)的發(fā)展以及信息化程度的逐步提高，信息安全威脅也呈現(xiàn)出多元化、復(fù)雜化的趨勢。依靠單一的安全技術(shù)已經(jīng)很難解決現(xiàn)有的信息安全問題，信息安全要靠一個(gè)包括防火墻、防病毒、VPN、入侵檢測、漏洞掃描器等多項(xiàng)技術(shù)和安全產(chǎn)品組成的安全體系來實(shí)現(xiàn)。但是根據(jù)專業(yè)機(jī)構(gòu)的調(diào)查顯示，在使用了多種安全產(chǎn)品和技術(shù)的企業(yè)或機(jī)構(gòu)中，安全事件仍然居高不下。這引起了大家的反思，人們開始意識到信息安全管理的重要性，信息安全的重心開始由“技術(shù)”轉(zhuǎn)移到“管理”上來。信息

2、安全管理系統(tǒng)應(yīng)運(yùn)而生。信息安全管理系統(tǒng)一般至少包括以下子系統(tǒng)：事件管理、策略管理、資產(chǎn)管理、身份管理、應(yīng)急響應(yīng)。 安全事件管理系統(tǒng)是信息安全管理系統(tǒng)的核心子系統(tǒng)，它行使事件采集、事件分析處理、風(fēng)險(xiǎn)評估、事件審計(jì)等功能。它既可以與其他子系統(tǒng)協(xié)作構(gòu)成完整的信息安全管理系統(tǒng)，也可以作為獨(dú)立的信息安全管理產(chǎn)品單獨(dú)運(yùn)行。 本文設(shè)計(jì)了一個(gè)安全事件管理系統(tǒng)(Security Event Management System，SEMS)，

3、并利用STAT(State Transition Analyse Technology)技術(shù)實(shí)現(xiàn)了該系統(tǒng)。SEMS能夠支持對各種類型、各種品牌的安全產(chǎn)品的事件管理；能夠?qū)Ω鞣N安全事件進(jìn)行采集，并實(shí)現(xiàn)事件標(biāo)準(zhǔn)化、過濾和歸并操作；能夠使用“資產(chǎn)關(guān)聯(lián)”、“聚類關(guān)聯(lián)”、“事件序列關(guān)聯(lián)”等多種方法進(jìn)行事件關(guān)聯(lián)分析處理；能夠?qū)κ录M(jìn)行實(shí)時(shí)監(jiān)控、審計(jì)和態(tài)勢分析。 在整個(gè)論文過程中，從信息安全的內(nèi)容和目標(biāo)以及信息安全所面臨的問題入手，對安全事件

4、管理系統(tǒng)進(jìn)行需求分析。并在此基礎(chǔ)上，做了以下的工作： (1) 定義了一個(gè)事件標(biāo)準(zhǔn)模型。在對安全事件管理系統(tǒng)進(jìn)行細(xì)化分析，對關(guān)鍵技術(shù)進(jìn)行調(diào)研的過程中，改進(jìn)IDMEF數(shù)據(jù)模型，為安全事件管理系統(tǒng)定義了一個(gè)事件標(biāo)準(zhǔn)模型。該模型適用于各種異構(gòu)的事件源，包括不同采集方式的事件信息、不同信息源的事件信息、不同類型的事件信息等。 (2) 定義了一個(gè)事件關(guān)聯(lián)模型，在該模型中采用了包括事件過濾、事件歸并、資產(chǎn)關(guān)聯(lián)、聚類關(guān)聯(lián)、事件序列關(guān)聯(lián)的