（计算机软件与理论专业论文）综合报警关联技术在网络安全管理平台中的运用.pdf

硕士学位论文 m a s t e r st h e s i s 摘要 在网络安全领域，网络攻击者和用户之间的矛盾无时无刻不在上演，种类繁多 的工具和海量的安全信息对网络安全管理者提出了极高的要求，特别是现在综合攻 击趋势的出现使得传统的单一安全管理模式难以应对，一种新型的整体网络安全管 理解决方案网络安全管理平台已发展成为新的流行。 网络安全管理平台用于总体配置、调控整个网络多层面、分布式的安全系统， 实现对各种网络安全资源的集中监控、统一策略管理、智能审计及多种安全功能模 块之间的互动，从而有效地简化网络安全管理工作，提升网络的安全水平和可控制 性、可管理性，降低用户的整体安全管理开销。在这背景下，网络安全管理平台 的事件管理中心就成为学者和安全设备生产厂商研究的重点，同时入侵检测系统 i d s 已经发展成为网络安全监控的一种重要工具。而网络安全管理一个显著的发展 趋势则是采用以i d s 为中心的关联模式。但是，传统i d s 的检测机制具有细粒度、 孤立性、弱的环境意识、误报率高等缺点。于是单一的关联技术在网络安全管理平 台中已经不能解决i d s 的多种问题，于是引出了及多种关联方式与一体的综合报警 关联技术。 文章在网络安全管理平台的框架中引入了综合报警关联方案的概念，综合了标 准化报警、精简报警、报警评估和因果关联几个部分。分别针对不同数据源、不同 类型、不同粒度的报警进行不同程度的关联分析。并在其中重点介绍了报警评估技 术和因果关联技术。报警评估技术主要的目的是结合多源异构背景知识，提高入侵 检测系统的报警正确率，为后续因果关联提供一个可信的数据源。因果关联技术是在 报警评估的基础上对确认的报警依据因果关联知识库。找出单个独立报警之间的因 果联系，从而建立攻击序列，最后根据报警序列重构报警攻击图。 关键词：综合报警关联技术；报警评估；因果关联；网络安全管理平台 硕士学位论文 m a s t e r st h e s i s a b s t r a c t i nt h ef i e l do fn e t w o r ks e c u r i t y , c o n t r a d i c t i o nb e t w e e nn e t w o r ka t t a c k e r sa n du s e r s g o e so na n do n m e a n w h i l e ，ag r e a tv a r i e t yo ft o o l sa n dam a s so fi n f o r m a t i o nm a k ea l l i g hr e q u e s tf o rn e t w o r ks e c u r i t ym a n a g e r s ，e s p e c i a l l yw h e nf a c i n gc u r r e n tt r e n do f c o m p r e h e n s i v ea t t a c k s ，w i t hw h i c ht r a d i t i o n a ls i n g l es e c u r i t ym a n a g e m e n tm o d e sf a i lt o d e a l a n dw i t hi n c r e a s i n g r e q u i r e m e n t so fn e t w o r ku s e r sf o ri n t e l l i g e n ts e c u r i t y m a n a g e m e n t , an e wi n t e g r a t e ds o l u t i o nf o rn e t w o r ks e c u r i t ym a n a g e m e n t ，o ri no t h e r w o r d s ，n e t w o r ks e c u r i t ym a n a g e m e n ts y s t e mh a sb e c o m eaf a s h i o n an e t w o r ks e c u r i t ym a n a g e m e n ts y s t e mi sd e s i r e dt or e a l i z ec e n t r a l i z e dm o n i t o r , u n i f o r mp o l i c ym a n a g e m e n t , i n t e l l i g e n ta u d i ta n di n t e r a c t i o na m o n gv a r i o u ss e c u r i t y f u n c t i o nm o d u l e s a tt h es a m et i m e ，i n t r u s i o nd e t e c t i o ns y s t e m ( i d s ) h a se v o l v e da sa n i m p o r t a n tt o o lf o rn e t w o r ks e c u r i t ym o n i t o r , w h i l ear e m a r k a b l ed e v e l o p m e n tt r e n do f n e t w o r ks e c u r i t ym a n a g e m e n ti st h ea d o p t i o no fa ni d s c e n t r i cc o r r e l a t i o nm a n n e r b u t t h ed e t e c t i o nm e c h a n i s m so ft r a d i t i o n a li d s sh a sw e a k n e s s e si n c l u d i n gt o of i n eg r a i n ， i s o l a t e da l a r m i n g ，l a c ko fe n v i r o n m e n t a lc o n s c i o u s n e s sa n dh i l g hr a t eo ff a l sa l a r m s a sa m a t t e ro ff a c t , r e s e a r c h e so nc o m p r e h e n s i v ea l e r tc o r r e l a t i o nb e c o m ea f o c u s ，a i m i n gi n c o l l a b o r a t em a n yk i n d so fc o r r e l a t i o nm e t h o d sf o rt h es a k eo f s o l v i n gd i f f e r e n tk i n d sa n d d i f f e m e tl e v e la l e r t s t h i sp a p e rd i s c u s s e si s s u e sr e l a t e dt ot h ea p p l i c a t i o no fa c o m p r e h e n s i v ea p p r o a c h t oa l e r t sc o r r e l a t i o ni nn e t w o r ks e c u r i t y m a n a g e m e n ts y s t e m , w h i c hi n c l u d e s a l e r t s n o r m a l i z a t i o n , a l e r t sr e d u c t i o n , a l e r t sv e r i f i c a t i o na n da l e r t sc a u s a lc o r r e l a t i o n a f t e r i n t r o d u c i n ge a c hc o m p o n e n to ft h ec o m p r e h e n s i v ec o r r e l a t i o na p p r o a c hr e s p e c t i v e l y , t h i s p a p e rf o c u so nt h ea l e r t sv e r i f i c a t i o na n da l e r t sc a u s a lc o r r e l a t i o nc o m p o n e n t si nt h e c o m p r e h e n s i v ef r a m e w o r k a l e r t sv e r i f i c a t i o na i m sa tr e d u c i n gt h er a t eo ff a l s ea l a r m s u s i n gt h eh e t e r o g e n e o u sc o n t e x t u a li n f o r m a t i o n a n du s i n gt h ek n o w l e d g eb a s ew i m p r e r e q u i s i t ea n dc o n s e q u e n c e ，a l e r t sc a u s a lc o r r e l a t i o ni st of m dt h ei n n e rs e q u e n c eo f l o w - l e v e la l e r t sw h i c hc o m ef r o mt h ea l e r t sv e r i f i c a t i o np a r t k e yw o r d s ：c o m p r e h e n s i v ec o r r e l a t i o na p p r o a c h ；n e t w o r ks e c u r i t ym a n a g e m e n t ； a l e r tv e r i f i c a t i o n ；c a u s a lc o r r e l a t i o n 硕士学位论文 m a s t e r st h e s i s 华中师范大学学位论文原创性声明和使用授权说明 原创性声明 本人郑重声明：所呈交的学位论文，是本人在导师指导下，独立进行研究工作 所取得的研究成果。除文中已经标明引用的内容外，本论文不包含任何其他个人或 集体已经发表或撰写过的研究成果。对本文的研究做出贡献的个人和集体，均已在 文中以明确方式标明。本声明的法律结果由本人承担。 作槲：夏 日期：沙吵年多月o 日 学位论文版权使用授权书 本学位论文作者完全了解学校有关保留、使用学位论文的规定，即：学校有权保留并向国 家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权华中师范大 学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描 等复制手段保存和汇编本学位论文。同意华中师范大学可以用不同方式在不同媒体上发表、传 播学位论文的全部或部分内容。 作着奎而嚆 日期：彤年多月i 口日 本人已经认真阅读“c a l i s 高校学位论文全文数据库发布章程 ，同意将本人的 学位论文提交“c a l i s 高校学位论文全文数据库”中全文发布，并可按“章程”中的 规定享受相关权益。园童迨塞理童后进卮! 旦主生；旦二生；旦三生筮查! 储签项嘭 嗍：叩月加日 导师 日期 硕士学位论文 m a s t e r st h e s i s 1 1 课题研究背景 第一章绪论 随着互联网市场的不断扩展，网络攻击和系统漏洞也无处不在。系统漏洞补丁 的分配永远比黑客攻击慢半拍，当u n i x 系统嘲笑w m d o w s 系统在w e b 服务器、 s q l 服务器和w e b 浏览器的层出不穷的漏洞时，黑客攻击的目标已经转向存在漏 洞的u n i x 系统中的b i n d 域名系统、w e b 服务器、电子邮件传输服务以及u n i x 的内核缺陷。不断增加的系统漏洞为网络攻击提供了湿润的温床，根据 c n c e r t 2 0 0 8 年上半年抽样数据显示，我国找到m y d o o m 蠕虫攻击、利用r p c 漏 洞和l s a s s 漏洞进行攻击的几类主要蠕虫攻击的主机数目接近2 0 0 万台，但是这 仅仅是遭受到网络攻击的冰山的一角，网络攻击、恶意端口扫描、垃圾邮件、网络 篡改加上变种化、多样化和迅速化的木马和蠕虫病毒程序的肆虐，让网络安全管理 者手足无措。虽然他们在内网中部署了诸如防火墙、入侵检测系统( i d s ：i n t r u s i o n d e t e c t i o ns y s t e m ) 、防病毒软件、漏洞扫描软件、系统监控系统等诸多网络安全设 备，但是这样机械化的设备堆砌不仅不能成为纷繁复杂的网络中的“诺亚方舟 ， 反而成为了“阿喀琉斯之踵”( a c h i l l e s h e e l ) ，让黑客直接针对这些设备发起攻击。 著名的分布式拒绝服务攻击( d d o s ：d i s t r u b u t e dd e n a i lo fs e r v i c e ) 就曾使得分布 式入侵检测系统因为过量的数据包而瘫痪。而且这些纷繁的设备让网管员每日不迭 的应对和处理海量的没有头绪的安全设备产生的日志和报警。 在网络安全设备确实起到防范网络入侵的作用同时使之易于管理成为网络安 全领域研究的趋势。在这种大环境的需求下，网络安全管理中心( s m c ：s e c u r i t y m a n a g e m e n tc e n t e r ) 的概念应运而生，按照s m c 的概念研制的产品就是现在网络 安全领域呼声最高的网络安全管理平台( n e t w o r ks e c u r i t ym a n a g e m e n ts y s t e m ) 。 网络安全管理平台是通过采集日志、配置信息、汇总事件、分析报警、报告威胁等 多种环节，对入侵检测系统、防火墙、网关防病毒产品、漏洞扫描软件、网络监控 设备、网络管理软件等自有安全产品进行综合管理；利用关联分析和脆弱性评估等 分析技术，从多源事件管理、多层策略配置和事件深入相关分析等技术入手，对纷 繁的安全设备的日志进行统一管理，并以企业信息资产的风险管理为核心，建立一 套安全事件采集、评估、分析和响应体系1 4 4 。 在网络安全管理平台的概念下，其中的多种安全设备日志分析技术又成为其中 硕士学位论文 m a s t e r st h e s i s 的一个核心环节。在网络安全管理平台中来自于多源异构安全设备的事件( 日志、 报警) 类型多样，格式各异，不便于统一分析；而且检测设备根据各自不同的规则 检测出的攻击重复性率大，同类型设备对同种类入侵的报警名称相似度高，从而使 报警数量成几何级数增长；安全检测设备产生的报警缺乏对攻击系统的环境信息资 源的依赖而使得这些设备的报警出现了大量的无关报警和错误报警：要从这些单 一、独立的报警中寻找出报警之间的内在关系，从而确定黑客的攻击意图和攻击路 径难上加难。正是由于以上诸多的问题，安全事件分析中心成为网络安全管理平台 中解决这些问题的关键。安全事件中心的作用就是利用报警合并和融合技术把多源 信息日志统一并消除重复的报警；利用事件评估确认技术分离出无关和错误的报 警；运用基于规则的分析技术寻找报警之间的内在联系，从而最终达到综合管理网 络安全事件，为网络管理员呈现全局网络安全态势的目的。 基于这样的背景，本课题在网络安全管理平台中提出了综合报警关联技术的概 念，综合使用多种报警分析技术，从而解决安全设备原始报警格式各异、缺乏环境 信息、误报率高和无法辨认内在关系的问题。 1 2 国内外研究现状 针对防火墙、入侵检测系统、网络监控系统等安全设备的应用而产生的海量的 不可信的安全报警难以管理的现状，国内外都在此基础上提出了网络安全管理平台 的概念，并有相关产品问世。在网络安全管理平台领域，国外起步较早，并且有一 批成熟的综合安全管理产品，其中处于领先地位的产品是i b m 公司的t i v o l i 4 5 1 ， c a ( c o m p u t e ra s s o c i a t e s ) 公司的e t r u s ts e c u r i t yc o m m a n dc e n t e r 4 6 。，a r c s i g h t 公司的 e n t e r p r i s es e c u r i t ym a n a g e m e n t l 4 川，n e tf o r e n s i c s 公司的s e c u r i t yi n f o r m a t i o n m a n a g e m e n t t 4 引，c i s c o 公司推出的s m c ( s e c u r i t ym a n a g e m e n tc e n t e r ) 和i n t e l l i t a c t i c s 公司推出的i n t e l l i t a c t i c ss e c u r i 锣m a n a g e rf o rs i e m l 4 9 。国内的研究起步较晚，但也 有许多家公司如绿盟、启明星辰、天融信、中软等公司致力于研究与开发网络安全 管理平台软件。其中启明星辰推出的泰合信息安全营运中心( t s o c ) 1 6 1 是国内应 用最广泛的安全管理平台。 在这些网络安全管理平台中，一般都具有一个核心功能，就是多源异构安全事 件处理中心，分析安全事件并挖掘之间的联系。这些分析安全事件的方法统称为事 件关联技术。关联技术通常被定义为在多种安全资源信息中建立或寻找报警实体之 间关系的一种技术，旨在提高系统甄别威胁与攻击的能力【lj 。随着异构网络安全设 备的不断增加，报警日志也呈现出几何级数的增长，基于此原因，报警关联技术在 2 硕士学位论文 m a s t e r st h e s l s 网络安全管理中的运用逐渐频繁。事件关联技术的研究主要是建立于入侵检测系统 之上，包括对单一入侵检测系统、多个入侵检测系统、分布式入侵检测系统以及以 入侵检测系统为核心的安全管理平台的报警事件的分析。主要集中在基于报警相似 度和重复率的报警聚集与融合技术以及按照既定的攻击规则关系知识库的报警关 联技术。并且在业界的产品中，也有相当数量的产品运用了事件关联技术，并且从 开始的单一关联技术发展到了综合多种关联分析技术的事件处理中心。 1 2 1 关联技术的发展状况 报警聚集技术处理的对象是原始报警，即直接由安全设备产生的报警。报警聚 集技术把同一个安全设备产生的多次相同的报警合并成为一条报警；把同一类安全 设备产生的对于同一个攻击的报警合并成为同一类报警。判断报警是否可以聚集的 条件是多个报警在一定的时间阈值内具有相同或者相似的关键属性( 用来标识报警 不可或缺的重要属性) ，这类报警重要属性包括报警名称、报警种类、源i p 、源端 口、目的i p 、目的端口、产生报警的设备等。其原理在于属于同一攻击的报警通常 都具有相似的属性，直接的聚合方法是通过检查报警属性发现它们之间的相似性。此 方法要解决的问题是需要比较那些属性，怎样知道这些属性是相似的，在比较中对不 同的属性怎样分配权重，而属性之间的相似程度计算和属性本身的性质有关，不同 的属性其相似度计算方法也不尽相同。目前大部分系统只是简单地比较两个报警响 应属性是否完全相等，以此来确定其相似性，比如文献 5 】中fv a l e u r 等人就是利用同 源但不同位置的入侵检测产生的相同属性的报警来聚集，取出重复的报警。 也有少数研究是基于研究报警属性之间相似度的，在文献 2 1 d 0 ，一种基于概率 统计的聚集方法被用来检测具有某些相似度的报警，该文献利用贝叶斯统计推断方 法分析基于特征的入侵检测和基于统计的入侵检测的报警，从而增加报警的敏感度 降低误报。文献 3 中，s t u a r ts t a n i f o r d 等人利用启发式学习方法研究异常攻击集合 的方法来聚集入侵检测中大量的扫描类型报警，包括端口扫描( p o r t s c a n ) 、利用 i c m p 协议进行的扫描操作、f t p 扫描等，旨在减少入侵检测的重复报警，因为入 侵检测系统中的大量重复报警来自于扫描类报警。文献 4 】中，j u l i s c h 等人利用数据 挖掘的方法以报警根本原因对相似的报警进行聚集分类。 报警评估技术的基本思想是将攻击成功的条件( 攻击针对的操作系统、服务与 漏洞等) 与目标主机对应的配置信息相比较，以此来确定真实的报警，建立可信的 报警库。 文献 6 】 2 8 】中，fv a l e u r 等人提出报警评估的目的是区分报警，他把报警分为 3 硕士学位论文 m a s t e r st h e s i s 三类：正确报警( t r u ep o s i t i v e ) ，经过报警评估，识别出的一个成功的攻击；无关 报警( n o n - r e l e v a n tp o s i t i v e ) ，入侵检测系统识别出的报警，但是经过报警评估，报 警成功的条件和实际网络的环境信息不符合：错误报警( f a l s ep o s i t i v e ) 、入侵检测 系统错误的判断为攻击的事件。并且fv a l e u r 等人开发了一个实时动态评估入侵检 测报警的原型系统。而m a g n u sa 【7 l 等人的做法，是采用离线分析报警的方法，并 且综合运用了网络资源信息，开发出了一个综合数据监控系统来进行报警评估。 就目前而言，网络安全报警评估技术的实践主要是实现i d s 报警与漏洞信息的 关联分析。参考文献【8 】提供了一个基于漏洞信息的报警评估方法，使用s n o r t 报警 数据库以及n e s s u s 和b u g t r a q 两个漏洞数据库，其实验结果表明通过增强i d s 环境 资产信息的方法可以有效减少i d s 误报率。但是，由于漏洞扫描系统本身存在的误 扫和漏扫问题，使得基于漏洞的报警评估技术的研究与应用变得困难1 9 。 目前也有少数研究不局限于基于漏洞的方法，参考文献 1 0 l 提出一种基于多层 模糊综合评判的报警评估方法，此方法使用相关度的概念，通过计算报警与目标的 相关度达到消除或标记无关报警，减少误报的效果。而参考文献【l1 贝w j 提出一种比 较新颖的方法，将时空间关联分析方法及其它安全事件信息有效融合起来，以便 实现安全报警的多层次评估，但其处理效果没有进一步的说明。 在国外，已经对基于规则的报警关联技术展开了深入的研究，常见的方法主要 包括以下两类。 ( 1 ) 通过预先定义的攻击情景实现报警相关 通过定义规则的方法，表明报警相关需要满足的条件，一个攻击情景可以由多 条这样的规则组成，在实际应用中，只需将报警与攻击情景规则相比较，便可以实 现实时关联分析。这类方法的关键在于定义攻击描述语言和获取攻击情景知识，以 便构建攻击知识库。 参考文献【1 2 】【1 3 】 1 4 】设计出一个协同入侵检测模型c r i m ，通过定义报警各属 性的相似度函数实现来自于多个i d s 的报警的聚类和融合，并建立了一种攻击描 述语言l a m b d a ，在此基础上实现报警之间的序列关联分析。 参考文献 1 5 【6 】将攻击看作是引起系统状态转移的行动，建立一种基于状态转 移分析的面向检测的攻击描述语言s t a t l ，将这种语言用于序列报警相关中，并 呈现多种报警分析技术，包括报警融合、多种聚合和应用时问序列关联构建多阶段 攻击情景，进而根据分析结果和风险资产库进行影响评估。 参考文献 1 6 】在l a m b d a ( 文献 1 2 1 ) 的基础上建立了一种c r s m l ( c a u s a l r e l a t i o n s h i pf o rs c e n a r i om o d e l i n gl a n g u a g e ) 脚本语言，来构建一个攻击脚本知识 4 硕士学位论文 m a s t e r st h e s i s 库，建立攻击序列从而检测蠕虫攻击。 ( 2 ) 通过攻击的前提和结果实现报警相关 这类方法基于这样的思想，即所有的攻击都具有前提( 攻击实施必须的条件) 与结果( 攻击成功所造成的后果) 4 1 1 1 4 2 1 。在一个多步骤的攻击情景中，一个攻击 的后果将成为下一个攻击的前提。于是，可以通过将具有因果关系的攻击相关，构 造完整的攻击情景。 参考文献 1 7 i f 是利用一个表达攻击发生的前提和攻击成功的结果的三元组 c o m p o u n d a l e r tt y p e ( 复合报警类型) 抽象地描述攻击，并利用此描述实现报警 的分类、融合和时间序列关联。 在国内，网络安全报警相关技术己引起相关研究机构的重视，同时迅速展开了 研究工作，突出代表有南京大学软件新技术国家重点实验室等。参考文献【1 8 】针对 i d s 、防火墙等异构安全设备的广泛应用而产生的海量不可靠的安全事件难以有效 管理的现状，提出一个统一网络安全管理平台的框架，该框架利用风险评估和事件关 联技术来实时地分析网络的风险状况，用以降低误报率和漏报率，但其应用效果仍 有待进一步的实践验证。 1 2 2 关联技术在网络安全管理中的国内外研究现状 多数关联技术的运用都是单一的、独立的使用某一种方法，有少数研究把几种 关联技术结合起来。综合关联技术只是在同一个系统中利用不同类型的关联方法对 报警进行处理，从不同角度对报警进行分析。 在国外的安全管理产品中运用到综合关联技术的是o s s i m 2 0 l ( o p e ns o u r c e s e c u r i t yi n f o r m a t i o nm a n a g e m e n t ) ，一个开源的统一网络安全管理平台。o s s i m 的 最大特色是支持多种安全设备( 全部为开源产品) ，比如网络入侵检测系统s n o r t 、 主机入侵检测系统o d d s 、漏洞扫描软件n e s s u s 、系统服务异常检测工具p a d s 、操 作系统探测工具p 0 f 、网络拓扑工具n t o p 等。o s s i m 综合采集以上这些多源的设 备，并在此基础上进行综合关联分析。该产品的综合关联技术分为两个部分，交叉 关联( c r o s sc o r r e l a t i o n ) 和动态关联( d i r e c t i v ec o r r e l a t i o n ) 。交叉关联是报警评估的另 外一种称呼，o s s i m 的交叉关联利用漏洞信息( n e s s u ) 、操作系统信息( p 0 f ) 和服 务信息( p a d s ) 来进行评估。而动态关联是基于规则的一种关联方法，它的每条规 则都是利用多源信息对s n o r t 的一类报警进行检测，如果这一类报警检测成功，则 生成一条新报警来代表这一类报警，o s s i m 的动态关联技术是一种关联多源异构 信息方法的典范。但是o s s i m 在综合报警关联这部分没有进行重复报警的处理， 5 硕士学位论文 m a s t e r st h e s i s 加到了后续关联引擎的负担。 国内的网络安全管理平台的发展也比较迅速，代表是启明星辰公司生产的泰合 安全管理中心( t s o c ) 【2 l 】。泰合安全管理中心分为安全管理中心、数据分析中心 和安全信息管理系统。其中安全信息管理系统负责采集多源设备的日志、筛选、聚 并、入库等功能；安全管理中心实现监控、报表和响应的功能。而数据分析中心是 报警分析引擎，实现报警与漏洞评估和基于规则的关联分析。从介绍中得知泰合安 全管理中心是实现了以上所说的报警聚集、报警评估和基于规则的关联分析的综合 报警关联技术的。但是由于没有泰合这一产品的使用情况说明，所以综合报警的效 果不得而知，但这产品仍旧是国内的领先产品。 1 3 本文研究内容和组织结构 本文的课题受武汉市科技攻关计划项目“统一安全管理平台的研究与开发”( 编 号为2 0 0 7 1 0 4 2 1 1 3 0 ，起止时间为2 0 0 7 年1 月至2 0 0 8 年1 2 月) 和湖北省公安厅自 主科研计划项目：“网络安全综合监控平台 ( 编号：2 0 0 7 s n z c x 0 0 1 ，开始时间为 2 0 0 8 年1 月) 的支持。本课题旨在现有安全管理与综合报警关联研究的工作基础 上，并借鉴国内外所进行的相关工作，研究并实现网络安全管理平台中的综合报警 关联技术。 论文根据本人硕士期间在网络安全项目组中的工程任务为基础撰写。文章基于 统一网络安全管理平台中的综合报警关联引擎框架的设计和实现，共分为五个部 分，具体结构如下： 第一章绪论。从传统的网络安全技术和信息安全管理的困境，提出网络安全管 理平台的重要性，并分析了国内外的报警关联技术的现状以及综合报警关联技术在 国内外的网络安全管理平台中的运用情况。 第二章综合报警关联框架。首先介绍了网络安全管理平台的框架以及各个部分 的内容，然后介绍了网络安全管理的不足。接着提出综合报警关联的整体框架和并 对综合报警关联技术中的标准化报警、精简报警部分进行了描述。 第三章报警评估技术。详细描述了综合报警关联框架中的报警评估技术，分析 了主动式报警评估和被动式报警评估的优劣，最后介绍了基于背景知识的报警评估 技术的设计与实现。 第四章因果关联技术。详细描述了综合报警关联框架中的因果关联技术，分析 了因果关联知识库的组成，并对因果关联中的实例化复合报警和重构攻击图进行了 设计与实现。 6 硕士学位论文 m a s t e r st h e s i s 第五章结论和展望。对全文进行总结，并提出未来的研究和工程设计的方向， 主要集中在增加报警评估的背景知识的数据源、增强因果关联知识库的可扩展性等 方面。 7 第二章综合报警关联框架 为了解决网络安全产品报警误报频出和漏报的问题，学者和安全产品生产厂家 提出了报警关联( a l e r tc o r r e l a t i o n ) 的方案，用来分析报警日志并且监控网络状态 并生成报告。虽然提出了很多关联方法，但是确迟迟没有对关联的流程、如何实施 以及如何评估关联方法达成一致。并且，现由的关联方案仅仅只局限于关联过程中 的某一个方面，比如把许多不同的i d s 报警融合成一条报警，或者建立攻击的多个 步骤来表示攻击次序。本章在网络安全管理平台的基础上提出一种综合关联方案并 且分析其中的各个关联部分。 2 1 网络安全管理平台 信息安全管理最开始是基于每一台安全设备的管理，到每一类安全设备 ( f w i d s n p n ) 的网元级的管理【4 6 】，因为单独的安全设备不能解决安全的网络问 题，独立的基于网元的管理更不能解决日益复杂的安全的问题，必须寻求新的方法。 随着信息技术的发展，面对新一代的黑客攻击，蠕虫，病毒等安全威胁，建设安全 的网络是业界目前所追求的理想目标。那么什么是安全的网络? 安全的网络是指能 够提供安全连接、安全保证、安全认证、安全抵御以及安全服务，安全感知和管理， 具有自我防御能力的网络系统。 单纯从技术的角度而言，目前业界比较认可的安全网络的主要环节包括入侵防 护、入侵检测、事件响应和系统灾难恢复。入侵防护主要是在安全风险评估和对安 全威胁充分了解的基础上，根据对安全的期望值和目标，制定相应的解决方案。入 侵检测主要是通过对网络和主机中各种有关安全信息的采集和及时分析，来发现网 络中的入侵行为或异常行为，及时提醒管理员采取响应动作阻止入侵行为的继续。 事件响应是当发生安全事件的时候所采取的处理手段，与入侵防护和入侵检测不 同，事件响应主要体现为专业人员的服务和安全管理。系统恢复是指如何在数据、 系统或者网络由于各种原因受到损害后，尽快恢复损失前的状态。除此之外，风险 评估、安全策略和管理规定等，经常也被作为安全保障的重要部分。 但是不论有多少环节，要想实现安全的网络，风险评估、策略制定、入侵防护 和入侵检测等都是应急响应的准备工作，有了这些准备工作，事件响应才可以及时 得到各种必要的审计数据，进行准确的分析，采取措施降低损失或者追踪入侵者的 来源等。因此，应急响应实际上将各个环节贯穿起来，使得不同的环节互相配合， 8 硕士学位论文 m a s t e r st h e s i s 共同实现安全网络的最终目标。而应急响应能否在攻击者成功达到目标之前有效地 阻止攻击和快速响应，不但取决于安全产品本身采取了什么技术，更取决于使用和 管理产品的人以及网络安全信息管理平台。优秀的信息管理分析工具，可以让安全 管理人员对网络的安全状态了如指掌，快速行动，真正实现安全网络。 安全信息管理涵盖的范围非常全面【2 2 1 ，包括风险管理，策略中心，配置管理， 事件管理，响应管理、控制系统，知识和情报中心，专家系统等，每个部分都需要 严密的设计，相互协作，真正实现一个高效率的，实用的，完整的安全信息集中管 理平台。安全管理在安全网络建设的循环中，起到一个承前启后的作用，是实现安 全网络的关键。 网络安全管理平台是描述“对安全事件( s e c u r i t ye v e n t s ) 提供采集、检测、分析 和响应服务的统一平台”的通用术语 3 0 1 1 3 1 1 。网络安全管理平台包括采集、配置、监 控、分析、响应等五个相关联的部分，分析整个系统的安全状态和安全趋势，对危 害严重的安全事件及时做出反应。根据信息安全管理的功能和特性，可将其工作流 程主要分成以下4 个阶段【2 9 1 ，每个阶段侧重解决不同的信息安全问题、实现不同的 安全目标：采集管理( c o l l e c t i n g ) 、配置管理( p r o v i s i o n i n g ) 、监控管理( m o n i t o r i n g ) 、 分析管理( a n a l y s i s ) 、响应管理( r e s p o n s i n g ) 采集管理 采集阶段的管理目标主要是实现对网络安全设备的： 动态实时日志采集 静态文件日志采集 统一多种安全设备的日志格式标准 网络安全设备众多，报警的日志格式和报警形式也各有差异，有以文件形式记 录在终端的静态日志，也有不断通过s y s l o g 向外发送的动态日志，因此在综合采集 管理阶段要采用不同的方式和技术对安全设备中的日子进行统一采集。而且防火 墙、防病毒软件、漏洞扫描、入侵检测等不同的设备日志的格式也有差别，在采集 管理阶段，要制定一种统一的报警格式来对所有这些异构设备的日志标准化 配置管理 配置管理的管理目标主要是实现对安全产品的 安全策略定义 部署安全配置 检查配置是否遵循安全策略 网络安全的设备种类和型号十分繁多，网络管理员经常会深陷于复杂的设备配 9 硕士学位论文 m a s t e r st h e s i s 置之中，尤其是采用命令行界面进行配置的时候，要熟记繁多的命令，给网络管理 人员增添了过多的工作负担。往往造成效率不高的问题。所以对于日常的网络运作， 非常需要有相关的网络安全管理配置软件，将网络管理人员的工作减到最少。网络 安全管理配置软件根据其处理对象的不同，分成网元管理配置软件和网络管理配置 软件。网元管理软件只管理单独的网元( 网络设备) ，而通用网络管理软件的管理目 标为一个网络。网元管理软件的特点是，专注于网络设备本身的底层的功能，进行 网络监控，配置的工具。各种复杂的高层的网络管理，离不开基本的底层的设备本 身的管理。 监控管理 监控管理的管理目标主要是实现对安全产品的： 查看、校对，产生安全态势报告 提供可视化的安全威胁信息 提供记录审计日志 网络管理员日常工作中，除了对经常增加的业务进行配置之外，另外一个主要 的工作就是监控网络的正常语法。伴随着网络的正常应用流量，网络上形形色色的 异常流量也随之而来，影响到网络的正常运行，威胁用户主机的安全和正常使用。 这就非常需要有合适的网络安全管理监控软件，帮助网络管理员快速，有效地监控 网络流量。 分析管理 分析管理是网络安全管理平台的核心部分，主要实现： 从离散的报警数据中检测出可用信息 关联不同安全设备的报警日志，得出可供用户使用的真实报警 对报警数据进行安全审计 谈到信息安全，用户首先想到的是要知道当前自己企业的信息安全状况如何。 这就需要进行信息安全评估，但是用户都很担心安全评估是否专业，是否系统，是 否会流于形式，为评估而评估，只是检查了目前的情况，却提不出针对评估发现的 问题地完整的解决方案。 响应管理 信息安全管理的最高形式即是实现对安全风险的实时响应管理，即基于获取的 海量安全事件，分析整个系统的安全状态和安全趋势，对危害严重的安全事件及时 做出响应。这一阶段的主要目标是： 关联各种事件准确定位安全事件 1 0 硕士学位论文 m a s t e r st h e s i s 感知确定攻击源头并描绘攻击路径 自动产生排除安全维修的操作 响应管理的更高级目标是在整个网络管理平台中形成一个自反馈的回路，能够 对网络威胁自动响应。 在这样一个统一、综合的网络安全管理平台下，多种设备的信息可以可到充分 的融合从而关联分析出精简正确的报警，把网络管理员从多种复杂的设备和海量的 日志数据中解救出来。网络安全管理平台，信息安全管理中心越来越得到用户的认 可，是下一代网络安全设备和安全技术发展的重要方向。 2 2 入侵检测系统与其不足 入侵检测系统( i d s ) ，特别是基于网络的误用型i d s ，一直朝着提高报警检测 效率以及降低误报( f a l s e a l a r m s ) 率【2 6 】的方向发展，而且使用入侵检测系统的网络 管理者为了避免错失重要的报警信息，往往采取提高i d s 的检测敏感度，即降低i d s 检测规则的尺度，这样就导致了i d s 会因为不严格的的检测规则在短时间内产生大 量的报警，其中又有很大一部分是与当前网络环境无关的误报，从而使得管理者无 法迅速的从海量的报警信息中找出真正的威胁。入侵检测的规则和误报率有着直接 的联系如图2 1 所示。 报 警 数 量 检测规则严格程度 图2 1 入侵规则和报警数量之间的关系 图2 1 中显示采用误用检钡t j ( m i s u s ed e t e c t i o n ) 的i d s ，若放宽检测规贝j j ( d e c t i o n r u l e s ) 或攻击特征( a t t a c ks i g n a t u r e ) ，就会产生大量的误报( f a l s ep o s i t i v e s ) ，因 为一旦检测规则放宽，那么原本很多不是报警的数据包也会因为检测条件变少而成 硕士学位论文 m a s t e r st h e s i s 为了报警，这样报警数量增多的情况下，误报率的提高是必然的；然而，如果为了 减少误报而严格控制检测规则的尺度，则随之而来会产生漏报( f a l s en e g a t i v e s ) 的 情况，漏报出现的原因是因为检测条件过于严格，检查网络攻击包的属性项过多， 那么报警数量就会减少，其中就包含了真正的报警，这样就产生了误报，这些报警 不能被检测到。 网络型入侵检测的检测攻击来源于网络数据包，获取数据包将其解码然后根据 攻击特征对数据包进行分析对比，如果符合既定攻击特征则产生报警，一般网络i d s 的流程如图2 2 所示。 下 网络数据包 图2 2 网络入侵检测的主要流程 检测特征检测规则攻击特征( s i g n a t u r e ) 是入侵检测系统预先定义好的用来识 别数据包中恶意代码的知识库，是检测攻击的主要引擎，如果攻击数据包符合攻击 特征，则捕获下一个数据包将其解包，查看里面的有效负荷数据。网络型入侵检测 依靠攻击特征来识别攻击，仅仅只能识别预先定义好的攻击。入侵检测系统中的攻 击特征是核心部分，也是研究的重点。下面以一个攻击实例来说明，如图2 3 所示。 1 2 硕士擘位论文 m a s t e r st h e s i s 符合攻击特征： p a c k e tp a y l o a d 9 0 9 09 0 9 0 9 0 9 0 9 0 9 0 9 09 0 9 0 9 0 9 09 09 0 9 0 一一a l a r m 一- ：为攻击过程 一一：；勾l d s 流程 图2 3s s he r e 3 2 攻击过程实例 s s h ( s e c u r i t ys h e l l ) 是一个非常流行的在客户端一服务器中进行客户认证和网 络通信加密的软件，s s hc r c 3 2 补偿攻击( c o m p e n s a t i o na t t a c kd e t e c t o re x p l o i t ) ，利 用c r c 3 2 补偿攻击代码中的缓冲区溢出漏洞进行攻击( c r c 3 2 补偿攻击代码是 s s h l v e r s i o n l 5 原始版本的一个补丁) ，允许攻击者覆盖内存中的任意位置的内容， 攻击者可能远程获取r o o t 权限。当攻击包被解包并且进入检测引擎时会和攻击特征 进行比较，比如s n o r t 的对于该攻击的攻击特征如图2 4 所示。 a le r tt c p $ e x t e r n a l n e ta n y 一 $ h o m e n e t2 2 ( m s g ：”e x p l o i ts s hc r c 3 2o v e r f l o w n o o p ”f l o w ：t o s e r v e r ，e s t a b l i s h e d ；c o n t e n t ：1 9 09 09 09 09 09 09 09 0 9 09 09 0 9 0 9 09 0 9 09 0i