（计算机应用技术专业论文）网络安全监测分析系统的研究与实现.pdf

缺少一种好的分析和协调方式。尤其是大规模异构网络环境下，网络安全行为更加 复杂，现有的网络技术与管理缺少对海量原始数据的良好安全监控与分析手段，因 此，本文构建了一个统一的网络安全监测与分析系统，对各种异构数据源数据进行 标准化表示和整合，并通过关联分析、安全态势预测等技术对数据进行分析处理， 提高报警的准确性，发现网络中的潜在威胁，预测未来一段时间内的网络安全趋势， 及时调整安全策略以适应网络安全动态性和整体性的要求，从而将网络管理由被动 攻击变为主动防御。 关键字：安全事件，关联分析，安全态势，神经网络，灰色系统 a b s t r a c t ac e r t a i nd e g r e eo fa t t e n t i o nw a sp a i dt os e c u r i t yp r o b l e m si nt h ee a r l yc o n s t r u c t i o n o fi n f o r m a t i o na n dn e t w o r k ，f i r e w a l l ，a n t i - v i r u sg a t e w a y , v p n ，i d s i p s ，a u t h e n t i c a t i o n ， s e c u r i t ya u d i ta n do t h e re q u i p m e n t sh a v eb e e nd e p l o y e dt ot h ee n t e r p r i s en e t w o r k ，a p r o b l e mi st h a th o w t od e a lw i t hs e c u r i t ye v e n t sg e n e r a t e db yh e t e r o g e n e o u sd e v i c e s ，t h e e x i s t i n gn e t w o r kt e c h n o l o g ya n dm a n a g e m e n tl a c k so fg o o ds e c u r i t ym o n i t o r i n go ft h e r a wd a t aa n da n a l y t i c a l t o o l s t h e r e f o r e ，t h i sp a p e rc o n s t r u c t e dau n i f i e dn e t w o r k s e c u r i t ym o n i t o r i n g a n d a n a l y s i ss y s t e m ，av a r i e t y o fs t a n d a r d i z e dd a t af r o m h e t e r o g e n e o u sd a t as o u r c e sr e p r e s e n t a t i o n a n di n t e g r a t i o n ，a n d t h r o u g hc o r r e l a t i o n a n a l y s i s ，t h es e c u r i t ys i t u a t i o ni nf o r e c a s t i n gt e c h n i q u e sf o rd a t aa n a l y s i sa n dp r o c e s s i n g ， t oi m p r o v et h ea c c u r a c yo fa l a r ma n df o u n dt h a tt h ep o t e n t i a lt h r e a to ft h en e t w o r k ， p r e d i c tt h ef u t u r et r e n d si nn e t w o r ks e c u r i t yw i t h i nap e r i o do ft i m e ，a d j u s tt h es e c u r i t y p o l i c yt oa d a p tt ot h ed y n a m i ca n dh o l i s t i cn e t w o r ks e c u r i t yr e q u i r e m e n t st i m e l y , w h i c h w i l lc h a n g et h en e t w o r km a n a g e m e n tf r o map a s s i v ea t t a c k si n t oa c t i v ed e f e n s e l vg u a n g j u a n ( c o m p u t e ra p p l i c a t i o nt e c h n o l o g y ) d i r e c t e db ya s s o c i a t ep r o f x ur u z h i k e y w o r d s ：s e c u r i t ye v e n t s ，c o r r e l a t i o na n a l y s i s ，s e c u r i t yp o s t u r e ，a n n ，g r e yt h e o r y 1 1 引言1 1 2 课题来源及研究背景2 1 3 国内外研究现状3 1 4 论文的内容和结构3 第二章网络安全监测分析系统总体设计5 2 1 系统总体设计5 2 1 1 系统设计的目标和思路5 2 1 2 系统体系结构6 2 1 3 系统功能模型7 2 2 系统设计难点9 2 2 1 数据采集一9 2 2 2 实时处理1 1 2 2 3 数据分析1 1 2 3 本章小结1 2 第三章关联分析引擎的设计1 3 3 1 网络安全入侵1 3 3 2 安全事件1 5 3 2 1 安全事件特点1 5 3 2 2 安全事件标准化1 6 3 3 关联分析方法概述1 9 3 4 关联分析引擎的设计2 0 3 4 1 关联分析种类2 0 3 4 2 基于数据挖掘的关联2 1 3 4 3 关联分析流程2 3 3 4 4 关联分析实现2 5 3 5 本章小结2 6 第四章安全态势预测方法的研究与应用2 7 i i 1 l 4 1 安全态势基本概念2 7 4 2 神经网络预测2 9 4 2 1 神经网络方法2 9 4 2 2r b f 神经网络预测算法流程3 2 4 3 灰色系统预测3 4 4 3 1 灰色系统3 4 4 3 2 灰色系统建模3 4 4 4 仿真实验与结果3 6 4 5 态势评估算法3 8 4 6 本章小结3 9 第五章全文总结与展望4 1 5 1 本文工作总结4 1 5 2 进一步研究方向4 l 参考文献4 3 致 谢4 6 在校期间发表的学术论文和参加科研情况4 7 h 随着计算机网络的发展，信息与网络技术正逐渐改变着人们的政治、经济、文 化生活的方式。同时，随着人们对网络依赖性的增强，网络安全问题逐渐暴露，网 络安全事件层出不穷。根据国家计算机网络应急技术处理协调中心c n c e r t c c 发 布的统计报告称，2 0 0 7 年与2 0 0 6 年相比，主要类型的安全事件数量均近成倍增 加，网络仿冒事件数量由5 6 3 件增加至1 3 2 6 件，增长率近1 4 倍；垃圾邮件事件数 量由5 8 7 件增加至1 1 9 7 件，增长率达1 倍；网页恶意代码事件数量由3 2 0 件增加 至1 1 5 1 件，增长率近2 6 倍。2 0 0 8 年上半年所接收的网络安全事件总数与去年同 期相比大量增加，木马、僵尸网络随着网络用户和网络资源的大量增加而极具扩散 性，并且呈专业化、局部化和小型化的趋势。垃圾邮件、网页仿冒、网页篡改等网 络安全事件较以往有明显增加，网络攻击带有的目的性、趋利性不断增强。 在信息化程度逐步提高的现代社会，信息安全越来越得到关注。信息安全威胁 也呈现出多元化、复杂化、系统化的趋势。t c p i p 是现在i n t e r n e t 上使用的最流行 的协议，它在7 0 年年代早期被开发出来，并最终与b s du n i x 结合在一起，从那 时起，它就成为了i n t e r n e t 的一个标准。今天，几乎所有与i n t e r n e t 连接的计算机都 运行着某种形式的t c p i p 协议。t c p i p 可以在各种不同的硬件和操作系统上工作， 因而利用t c p i p 可以迅速方便地创建一个异构网络。但是，在i n t e r n e t 首先在1 9 6 6 年创建时，创始者远没有对安全问题考虑的太多。当时创建者注重的是网络的功能， 因此i n t e r n e t 和t c p i p 并没有被过多的考虑安全性。 网络系统规模在日益扩大，网络应用水平在不断提高，为了提供快速、可靠和 更加丰富的网络服务，需要网络在规模、复杂程度上进一步扩展。因此，网络安全 的保障不可能单靠防火墙等安全设备单一的防护，必须靠一个包括防火墙、入侵检 测、漏洞扫描器等多项技术和安全产品组成的安全体系来实现。我国信息安全领域 的著名专家何德全院士指出，“安全体系的建设不是一般的管理手段的叠加和集成， 而是综合集成。经过综合集成，系统将涌现出崭新的安全性质一整体大于部分之 和 。可见，综合集成是解决当前网络安全体系建设中诸多问题的必然选择，是网 络安全体系建设的必然趋势。信息安全的概念已经从最初的通信安全、系统安全、 网络安全进入到了信息安全保障( i n f o r m a t i o na s s u r a n c e 即i a ) 阶段。 华北电力大学硕士学l ；7 ：论文 1 2 课题来源及研究背景 为了防范安全攻击，提高网络安全性，安全厂商纷纷采用各种安全技术，推出 各类安全产品，如防病毒、防火墙、入侵监测、入侵保护、v p n 等等，并且加强操 作系统和应用系统自身的安全防护，加强安全审计。这些措施都在很大程度上提高 了网络的安全状况，然而，不同的安全产品都是解决某一方面的安全问题，例如： 防火墙用于检测和限制外部网络对受保护网络的访问，对穿过防火墙的恶意数据包 却无能为力，更不能防范内部威胁。不同的安全产品由于来自不同厂商，其记录的 安全事件遵循不同的标准甚至完全没有标准，造成不同安全设备之间的事件信息彼 此隔绝，形成信息孤岛。这就使得一方面尽管部署了众多的安全产品，但用户仍无 法对网络的整体安全状况有全面的掌握，很难做到协同调度、统一管理；另一方面 由于各个安全产品对于安全攻击判断的依据仅来自于它自身接收的安全事件，不可 避免地会产生漏报或误报；再有就是对于一些复杂的安全攻击，凭借单一安全产品 很难发现并报警。 针对上述情况，需要有相应的技术和产品来整合不同的安全产品，能够将来自 不同事件源的事件统一监控起来，并对这些事件进行分析，向用户提供网络运行的 整体安全状况，有效减少误报和漏报，极大提高报警准确性，发现复杂的攻击行为， 并能根据保存的历史事件数据对事件进行深入调查和安全审计。 一个典型的安全管理系统通常由多种安全设备组成，如防火墙、i d s 、漏洞扫 描器，防病毒网关等，这些安全设备通常由不同的厂商生产，随着网络规模的增大， 安全设备的增多，企业安全管理呈现出以下问题： ( 1 ) 不同设备之间缺乏互操作性； ( 2 ) 不同安全设备着眼于网络安全中的某一方面，缺乏整个网络的安全统一视 图； ( 3 ) 缺少全网安全事件的监控、事件定位等功能： ( 4 ) 缺少对全网安全事件的查询、统计、分析等功能； ( 5 ) 安全操作的工作量增大，发生了安全事件时可能需要在不同的设备上分别 进行操作，难以进行全网安全资源的调配和优化。 为了解决上述问题，本文提出了统一的网络安全监测系统( s m s ) 。该系统从 网络的整体安全出发，通过对网络中各种安全设备的集中监控，收集各安全设备产 生的安全事件，并通过对收集到各种安全事件进行深层的分析、统计和关联，定位 安全风险，对各类安全事件及时提供处理方法和建议的安全解决方案。 本文以国家电网公司信息内外网边界安全监测系统为项目背景，分析当前网络 的安全现状及需求，介绍事件采集和事件分析的方法，并根据国家电网公司网络的 特点和实际需求，研究安全监测系统的架构问题，以及安全事件的关联分析方法， 2 华北电力大学硕士学位论文 并提出了网络安全态势预测的相关方法。系统能够对国家电网公司的网络安全管理 问题进行有力地指导，完成技术向应用成果的转化。 1 3 国内外研究现状 利用已知的安全事件数据进行安全管理与审计分析的思想，最早是1 9 8 0 年 a n d e r s o n 的论文中正式提出的，经历了2 0 多年的研究和发展，已形成了较为完备 的理论和实际应用系统。 在国外，很多公司和研究人员对安全事件同志做了大量的研究工作心。10 1 ，目前 国外研究开发的安全事件管理工具有很多，主要体现在对已知的数据进行统计分析 和实时监控以及安全集中管理方面，例如，n e t l q 公司的w e bt r e n d s 日志分析工具 系列，主要对w e b 、防火墙产生的事件数据进行统计分析，并能给出详细的统计报 表和图表；g f i 软件公司开发的l a ng u a r ds e c u r i t ye v e n tl o gm o n i t o r 可完成基于 所有w i n d o w s 操作系统的安全事件日志的入侵检测。c o m p u t e ra s s o c i a t e s i n t e r n a t i o n a l ，i n c ( 简称c a ) 在2 0 0 5 年e t r u s t 信息安全年会上推出了s o c ( s e c u r i t y o p e r a t i n gc e n t e r ) 3 + 1 安全运维中心解决方案。 在国内，安氏公司从2 0 0 1 年初开始酝酿安全运行中。c , ( s o c ) 这一全新安全防御，：。f 各。 体系的研发，在南京成立了安全管理开发中心，为s o c 的产业化发展奠定了坚实 ： 的基础。天融信通过长期的安全实施和产品集成经验，建立了自己的安全运营中心 平台，同时提出了天融信安全运营中心( s o c ) 解决方案。通过天融信安全运营中： ：。 心解决方案可以实现：信息资产的分类管理；安全事件的集中管理与分析；所有网 络设备的关联分析与协调处理；融合业务的安全管理；安全报警通告；安全状况报 告；在线安全知识库建设；标准或法律的符合性以及运维组织的安全管理。此外， 启明星辰、绿盟、联想、中软等公司也在s o c 的领域中有所研究。 纵观以上产品，都是偏重于安全管理与事件处理流程，可以实现安全事件的查 询、初步统计等功能，但无法发现数据中存在的关系和规则，无法根据现有的数据 预测未来的发展趋势，无法从海量的安全数据中发现潜在的安全威胁和攻击。利用 数据挖掘技术，可以更高效地从海量的安全事件数据中提取对用户有价值的信息， 利用这些信息我们可以更准确的预测、分析和评估网络中的各种安全事件和威胁。 1 4 论文的内容和结构 本文的组织结构如下： 第一章，绪论。对课题研究的背景及意义和国内外研究现状进行了介绍和总结。 第二章，网络安全监测分析系统的设计。本章介绍了系统的设计目标和思路， 3 华北电力大学硕十学位论文 并指出设计中存在的主要难点，设计了系统的体系架构并给出主要模块的实现。 第三章，关联分析引擎的设计。关联分析技术是系统的核心技术，本章分析和 对比了目前常用的关联方法并给出系统关联分析引擎的实现途径。 第四章，安全态势预测方法的研究与应用。本章给出了安全态势的基本概念， 并采用了神经网络和灰色系统理论的预测方法，分别对短期和中长期的趋势进行预 测，最后给出了实验结果。 第五章，全文总结与展望。本章对全文的研究工作进行总结，提出了主要结论， 并介绍了课题今后进一步的改进和发展方向。 4 计 建设覆盖全公司的信息内外网边界安全监控系统，能够及时掌握公司信息内外 网边界信息安全状况与态势，全面提高信息边界监测防御能力，开展两级内外网边 界安全监控工作。其设计遵循以下原则： 全面考虑，重点部署，分布实施 安全系统工程是融合设备、技术、管理于一体的系统工程，需要全面考虑；同 时，尽量考虑到涉及网络安全的重点因素，充分考虑可扩展性和可持续性，从解决 眼前问题、夯实基础、建设整个体系等方面作好安全工作。 尽量减少对现有网络应用的影响 部署网络安全，尽量减少对现有网络结构和应用系统的影响。在尽量减少对现 有应用的影响的同时，充分考虑安全产品和现有网络结构、网络产品、网络应用的 兼容性，保护网络建设的投资。 先进性，可扩展性，完整性并重 采用成熟先进的技术，同时网络安全基础构架和安全产品必须有较强的可扩展 性，为安全系统的改进和完善创造条件。 系统基本功能是采集防火墙、i d s 、i p s 、网站防护设备、防病毒网关、隔离装 置等安全设备安全事件，对内外网络边界进行全天候实时安全监测及深度分析。能 够对敏感数据、网络流量、对外网站进行实时监测以及深度分析。整合各种安全设 备事件，并进行关联分析，实时显示全网安全态势。同时，形成各类安全监测分析 报告。 信息内外网安全监测系统目标可分解为三个层次： ( 1 ) 实时管理 实时掌握整体网络安全运行情况；及时发现入侵、病毒等安全问题及安全隐患， 并迅速响应；通过运行分析，调整事件分析策略，提高事件分析准确率。 ( 2 ) 精益管理 通过丰富完善的信息图档资料，为安全运行维护工作提供直观准确的基础数 据；避免公司网络安全人才缺乏而带来的安全疏忽。 ( 3 ) 战略管理 5 华北电力人学硕士学位论文 提升系统安全性，降低安全风险；预测并计划信息安全基础设施的需求，考核 并不断提升安全服务水平。 2 1 2 系统体系结构 安全监测分析系统的基本功能是采集防火墙、i d s 、i p s 、网站防护设备、防病 毒网关等安全设备安全事件，对网络边界进行全天候实时安全监测及深度分析。整 合各种安全事件并进行关联分析，实时显示全网安全态势，并形成各类安全监测分 析报告1 引。 根据功能要求，安全监测分析系统的软件结构由下至上，由三个层次组成：采 集层、分析层、展示层。如图2 一l 所示。 网络安全监测系统 病毒服务器安全设备l安全设备n 图2 - 1 系统体系结构图 采集层负责从安全设备中收集这些设备产生的安全日志，此外还从交换机镜像 流量中分析收集攻击事件和敏感信息。采集层收集到的数据按照指定的筛选要求进 行筛选后发送给分析层进行集中的存储和分析。由于安全设备发送过来的日志采用 的协议不同，报文内部的净荷( p a y l o a d ) 格式也不同，需要采集端能够对其进行识 6 华北电力大学硕十学位论文 别和预处理，即对安全事件进行标准化处理。 ， 分析层对采集到的海量数据进行集中的存储和分析，以提取出主要关注的信 息。分析层实现数据接收、实时分析、深度分析的功能。其中包括事件准确定位、 时间关联分析、知识库、安全态势分析、告警生成、存储索引、数据统计、人工分 析与报告等。 展示层提供人机交互接口，将分析结果以直观的形式展示给安全管理员，并接 受安全管理员的操作指令。 2 1 3 系统功能模型 系统的主要处理流程遵循p 2 d r 模型。p 2 d r 模型是美国i s s 公司提出的动态网 络安全体系的代表模型，模型包括四个主要部分：p o l i c y ( 安全策略) 、p r o t e c t i o n ( 防护) 、d e t e c t i o n ( 检测) 和r e s p o n s e ( 响应) 。如图2 - 2 所示。 图2 - 2p 2 d r 模型示意图 ( 1 ) 策略：策略是模型的核心，所有的防护、检测和响应都是依据安全策略 实施的。网络安全策略一般包括总体安全策略和具体安全策略2 个部分组成。 ( 2 ) 防护：防护是根据系统可能出现的安全问题而采取的预防措施，这些措 施通过传统的静态安全技术实现。采用的防护技术通常包括数据加密、身份认证、 访问控制、授权和虚拟专用网( v p n ) 技术、防火墙、安全扫描和数据备份等。 ( 3 ) 检测：当攻击者穿透防护系统时，检测功能就发挥作用，与防护系统形 成互补。检测是动态响应的依据。 ( 4 ) 响应：系统一旦检测到入侵，响应系统就歼始工作，进行事件处理。响 应包括紧急响应和恢复处理，恢复处理又包括系统恢复和信息恢复。 p 2 d r 模型是在整体的安全策略的控制和指导下，在综合运用防护工具( 如防 火墙、操作系统身份认证、加密等) 的同时，利用检测工具( 如漏洞评估、入侵检 7 华北电力大学硕士学位论文 测等) 了解和评估系统的安全状态，通过适当的反应将系统调整到“最安全 和 “风险最低”的状态。防护、检测和响应组成了一个完整的、动态的安全循环，在 安全策略的指导下保证信息系统的安全。 该理论的最基本原理就是认为，信息安全相关的所有活动，不管是攻击行为、 防护行为、检测行为和响应行为等等都要消耗时间。因此可以用时间来衡量一个体 系的安全性和安全能力。 作为一个防护体系，当入侵者要发起攻击时，每一步都需要花费时间。当然攻 击成功花费的时间就是安全体系提供的防护时间p t ；在入侵发生的同时，检测系统 也在发挥作用，检测到入侵行为也要花费时间一检测时问d t ；在检测到入侵后，系 统会做出应有的响应动作，这也要花费时间一响应时间r t 。 p 2 d r 模型就可以用一些典型的数学公式来表达安全的要求： 公式1 ：p t d t + r t 。 p t 代表系统为了保护安全目标设置各种保护后的防护时间；或者理解为在这样 的保护方式下，黑客( 入侵者) 攻击安全目标所花费的时间。d t 代表从入侵者丌始 发动入侵丌始，系统能够检测到入侵行为所花费的时间。r t 代表从发现入侵行为开 始，系统能够做出足够的响应，将系统调整到正常状态的时间。那么，针对于需要 保护的安全目标，如果上述数学公式满足防护时间大于检测时间加上响应时间，也 就是在入侵者危害安全目标之前就能被检测到并及时处理。 公式2 ：e t = d t + r t ，如果p t = 0 。 公式的前提是假设防护时间为0 。d t 代表从入侵者破坏了安全目标系统开始， 系统能够检测到破坏行为所花费的时间。r t 代表从发现遭到破坏开始，系统能够做 出足够的响应，将系统调整到正常状态的时间。比如，对w e bs e r v e r 被破坏的页 面进行恢复。那么，d t 与r t 的和就是该安全目标系统的暴露时间e t 。针对于需要 保护的安全目标，如果e t 越小系统就越安全。 通过上面两个公式的描述，实际上给出了安全一个全新的定义：“及时的检测 和响应就是安全”，“及时的检测和恢复就是安全”。 而且，这样的定义为安全问题的解决给出了明确的方向：提高系统的防护时间 p t ，降低检测时间d t 和响应时间r t 。 p 2 d r 模型也存在一个明显的弱点，就是忽略了内在的变化因素。如人员的流动、 人员的素质和策略贯彻的不稳定性。实际上，安全问题牵涉面广，除了涉及到防护、 检测和响应，系统本身安全的“免疫力”的增强、系统和整个网络的优化，以及人 员这个在系统中最重要角色的素质的提升，都是该安全系统没有考虑到的问题。 p 2 d r 理论给人们提出了全新的安全概念，安全不能依靠单纯的静态防护，也不 能依靠单纯的技术手段来解决。网络安全理论和技术还将随着网络技术、应用技术 的发展而发展。未来的网络安全有以下趋势： 8 华北电力大学硕士学位论文 一方面，高度灵活和自动化的网络安全管理辅助工具将成为企业信息安全主管 的首选，它能帮助管理相当庞大的网络，通过对安全数据进行自动的多维分析和汇 总，使人从海量的安全数据中解脱出来，根据它提交的决策报告进行安全策略的制 定和安全决策。 另一方面，由于网络安全问题的复杂性，网络安全管理将与已经较成熟的网络 管理集成，在统一的平台上实现网络管理和安全管理。 因此，网络安全时代已经到来，以p 2 d r 理论为主导的安全概念必将随着技术 的发展而不断丰富和完善。 2 2 系统设计难点 2 2 1 数据采集 采集层是对原始数据进行必要的清洗和转换，使得数据更具标准化，同时对数 据进行预处理，将数据整合后上传n8 l 。数据采集主要分为：安全事件日志采集和实。一 - “ 时数据采集。安全事件日志采集主要收集安全设备日志。实时数据采集主要是对原 始数据流进行协议分析和监测，从中采集所关心的数据流。图2 3 为数据采集端示 意图。 ：c 二：? 。t 。 图2 - 3 数据采集层示意图 数据采集层各模块及功能描述如表2 - 1 所示。 9 控制流 华北电力大学硕士学位论文 表2 - i 数据采集层各模块及功能 编模块名模块功能描述 号 1 安全设备日忠负责以被动或主动方式收集安全设备的日志数据，进行内 收集容识别。 2 配置文件用来保存参数配置，包括日志接受策略、过滤条件、安全 监测系统管理中心i p 地址和端口等。 3 配置读取模块本模块负责进行初始化，读取配置文件并供其它模块取 用。 4 配置保存模块本模块负责将安全监测系统管理中心下发的参数配置保 存到文件中。 5 日志预处理模本模块根据预先配置的条件对收集到的日志进行分析，并 块进行格式标准化。并决定是否要将相应的日志发送给安全监测 系统管理中心。如果需要发送，则提交给加密通信模块。本部 分也包括对短时间内大量相同日：基的门并。 6 命令处理模块本模块负责处理来自安全监测系统管理中心的命令并执 行相应的动作，然后向安全监测系统管理中心返回执行结果。 例如，响应安全监测系统管理中心获取配置文件的请求，将当 前配置发送给安全监测系统管理中心，响应安全监测系统管理 中心设置配置参数的命令，从安全监测系统管理中心获得新的 参数配置并保存到配置文件中；响应服务器的升级请求，从服 务器获得最新版本的程序并升级自身。 7 加密通信模块本模块负责和安全监测系统管理中心进行加密通信，保证 数据和命令的高效、安全地传输，对于其它模块来说是透明的。 8 完整性校验模负责校验自身程序文件和配置文件的合法性，避免被篡 块改。 9 高级功能二次负责对原始数据流进行简单的协议分析，并按业务分流。 开发并根据协议分析产生用户行为的简单日志。 安全事件数据采集采用完全可定制的a g e n t ，提供了a g e n t 编制的标准接口。 通过采集a g e n t 能收集各种常见的安全设备或其它i t 信息设备产生的各种与信息 安全有关的日志、事件告警等信息( 本文仅限于安全设备) ，在收集到数据后，系 统会对事件进行格式化。 1 0 据分析模块。数据分析 ( 1 ) 识别出用户的行为，以标准的格式记录下来。以便进行用户行为分析， 以及同后对安全事件的审计跟踪。日志内容格式如表2 2 所示。 表2 - 2 日志内容格式 序号属性名称属性值 l 设备标志 3 2 行为发生时间 2 0 0 8 9 1 41 6 ：0 1 3 行为接收时间 2 0 0 8 9 1 41 6 ：0 1 4 行为危险等级0 ( 没有危险) 5 行为内容访问s i n a 6 行为源 1 1 1 2 3 7 行为目标 1 2 3 3 5 6 8 9 ( 2 ) 按照不同的协议对数据进行分流，然后将数据送入相应的业务处理模块， 进行更深层次的数据监测分析。如对外网站攻击监测和敏感信息监测。 具体结构如图2 4 所示。 ： 2 2 3 数据分析 图2 4 实时数据分析结构图 采集端会对原始的同志数据进行预处理，然后上传到中心分析层进行深入的分 析处理。因此，为了便于本地端进一步分析处理原始的同志数据，对接收过来的所 有同志需要分成两部分，一部分向上发送进行安全事件同志预处理模块，另一部分 复制的日志数据转发给本地保留。如图2 5 所示。 华北电力大学硕+ 学位论文 2 3 本章小结 图2 - 5 口志转发处理图 随着对安全问题的同益关注，企业中部署了越来越多的安全产品，集中化的安 全监测系统能够有效地解决各设备问异构的问题，消除信息孤岛。本章从实际角度 出发，给出了一个基于p 2 d r 模型的网络安全监测分析系统的实现框架，论述了系 统的设计思路和功能实现，并对其基本模块和功能作了简要介绍。 1 2 是涉及到网 络上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络 安全的研究领域。网络入侵者的攻击过程，一般包括若干个分散的处于不同阶段的 攻击步骤。通过探测、扫描等方式，攻击者取得实施进一步攻击的条件( 如发现服 务漏洞、安装木马程序等) 。每个攻击步骤，往往都是一个独立的攻击行为。如首 先对某网段进行扫描，可能触发i p s w e e p 的报警；接着利用漏洞提升权限，可能触 发b u f f e ro v e r f l o w 的报警；最后安装木马发动攻击等。仅仅针对单个攻击步骤的 检测，难以反应整个攻击过程，因而根据攻击类型对网络安全事件进行关联分析是 很必要的。网络攻击的一般步骤包括n 9 1 。 六：，。：j 1 攻击的准备阶段 入侵者的来源有两种，一种是内部人员利用自己的工作机会和权限来获取不应 该获取的权限而进行的攻击。另一种是外部人员入侵，包括远程入侵、网络节点接t t 菇： 入入侵等。 ( 1 ) 确定攻击的目的 攻击者在进行一次完整的攻击之前首先要确定攻击要达到什么样的目的，即给 对方造成什么样的后果。常见的攻击目的有破坏型和入侵型两种。破坏型攻击指的 只是破坏攻击目标，使其不能正常工作，而不能随意控制目标的系统的运行。要达 到破坏型攻击的目的，主要的手段是拒绝服务攻击( d e n i a lo fs e r v i c e ) 。另一类 常见的攻击目的是入侵攻击目标，这种攻击是要获得一定的权限来达到控制攻击目 标的目的。这种攻击比破坏型攻击更为普遍，威胁性也更大。 ( 2 )信息收集 除了确定攻击目的之外，攻击前的最主要工作就是收集尽量多的关于攻击目标 的信息。这些信息主要包括目标的操作系统类型及版本，目标提供哪些服务，各服 务器程序的类型与版本以及相关的社会信息。 2 攻击的实施阶段 ( 1 )获得权限 当收集到足够的信息之后，攻击者就要丌始实施攻击行动了。作为破坏性攻击， 只需利用工具发动攻击即可。而作为入侵性攻击，往往要利用收集到的信息，找到 其系统漏洞，然后利用该漏洞获取一定的权限。有时获得了一般用户的权限就足以 1 3 华北电力大学硕十学位论文 达到修改主页等目的了，但作为一次完整的攻击是要获得系统最高权限的，这不仅 是为了达到一定的目的，更重要的是证明攻击者的能力，这也符合黑客的追求。 能够被攻击者所利用的漏洞不仅包括系统软件设计上的安全漏洞，也包括由于 管理配置不当而造成的漏洞。当然大多数攻击成功的范例还是利用了系统软件本身 的漏洞。造成软件漏洞的主要原因在于编制该软件的程序员缺乏安全意识。当攻击 者对软件进行非正常的调用请求时造成缓冲区溢出或者对文件的非法访问。其中利 用缓冲区溢出进行的攻击最为普遍，据统计8 0 以上成功的攻击都是利用了缓冲区 溢出漏洞来获得非法权限的。 ( 2 ) 权限的扩大 系统漏洞分为远程漏洞和本地漏洞两种，远程漏洞是指黑客可以在别的机器上 直接利用该漏洞进行攻击并获取一定的权限。这种漏洞的威胁性相当大，黑客的攻 击一般都是从远程漏洞丌始的。但是利用远程漏洞获取的不一定是最高权限，而往 往只是一个普通用户的权限，这样常常没有办法做黑客们想要做的事。这时就需要 配合本地漏洞来把获得的权限进行扩大，常常是扩大至系统的管理员权限。 只有获得了最高的管理员权限之后，才可以做诸如网络监听、打扫痕迹之类的 事情。要完成权限的扩大，不但可以利用已获得的权限在系统上执行利用本地漏洞 的程序，还可以放一些木马之类的欺骗程序来套取管理员密码，这种木马是放在本 地套取最高权限用的，而不能进行远程控制。 3 攻击的善后工作 ( 1 )日志系统 如果攻击者完成攻击后就立刻离开系统而不做任何善后工作，那么他的行踪将 很快被系统管理员发现，因为所有的网络操作系统一般都提供日志记录功能，会把 系统上发生的动作记录下来。所以，为了自身的隐蔽性，黑客一般都会抹掉自己在 日志中留下的痕迹。想要了解黑客抹掉痕迹的方法，首先要了解常见的操作系统的 日志结构以及工作方式。 ( 2 ) 隐藏踪迹 攻击者在获得系统最高管理员权限之后就可以随意修改系统上的文件了，包括 日志文件，所以一般黑客想要隐藏自己的踪迹的话，就会对日志进行修改。最简单 的方法当然就是删除同志文件了，但这样做虽然避免了系统管理员根据i p 追踪到 自己，但也明确无误地告诉了管理员，系统己经被人侵了。所以最常用的办法是只 对日志文件中有关自己的那一部分做修改。 ( 3 ) 后门 一般黑客都会在攻入系统后不只一次地进入该系统。为了下次再进入系统时方 便一点，黑客会留下一个后门，特洛伊木马就是后门的最好范例。u n i x 中留后门的 方法有很多种，以下是几种常见的后门。 1 4 以获得对u n i x 机器的访问， 的帐号。以后即使管理员封 入的后门。多数情况下，入 当管理员寻找口令薄弱的 帐号是，也不会发现这些密码已修改的帐号。因而管理员很难确定查封哪个帐号。 2 ) 校验和及时间戳后门 早期，许多入侵者用自己的t r o j a n 程序替代二进制文件。系统管理员便依靠 时间戳和系统校验和的程序辨别一个二进制文件是否已被改变，如u n i x 里的s u m 程序。入侵者又发展了使t r o j a n 文件和原文件时间戳同步的新技术。它是这样 实现的：先将系统时钟拨回到原文件时间，然后调整t r o j a n 文件的时间为系统时 间。一旦二进制t r o j a n 文件与原来的精确同步，就可以把系统时间设回当前时间。 s u m 程序是基于c r c 校验，很容易骗过。入侵者设计出了可以将t r o j a n 的校验和调 整到原文件的校验和的程序。m d 5 是被大多数人推荐的，m d 5 使用的算法目前还没 人能骗过。 3 ) t e l n e t d 后门 当用户t e l n e t 到系统，监听端口的i n e t d 服务接受连接随后递给i n 。t e l n e t d ， 1j 。 由它运行l o g i n 。一些入侵者知道管理员会检查l o g i n 是否被修改，就着手修改 i n 。t e l n e t d 。在i n t e l n e t d 内部有一些对用户信息的检验，比如用户使用了何种 终端。典型的终端设置是x t e r m 或者v t l 0 0 。入侵者可以做这样的后门，当终端设 置为”l e t m e i n ”时产生一个不要任何验证的s h e ll 。入侵者已对某些服务作了后门， 对来自特定源端口的连接产生一个s h e l l 。 4 ) t c ps h e l l 后门 入侵者可能在防火墙没有阻塞的高位t c p 端口建立这些t c ps h e l l 后门。 许 多情况下，他们用口令进行保护以免管理员连接上后立即看到是s h e l1 访问。管理 员可以用n e t s t a t 命令查看当前的连接状态，那些端口在侦听，目前连接的来龙 去脉。通常这些后门可以让入侵者躲过t c pw r a p p e r 技术。这些后门可以放在s m t p 端口，许多防火墙允许e - m a i l 通行的。 3 2 安全事件 3 2 1 安全事件特点 本文的安全事件( 也称报警信息) 是指由安全设备或网络设备发出的一段消息。 该消息用来表示网络中出现了违反计算机或网络安全策略的行为。安全事件可以是 1 5 华北电力大学硕士学何论文 防火墙、i d s 等安全设备产生的报警信息，也可以是路由器、交换机、服务器等网 络设备的安全日志信息。 从人侵检测系统的观点来看，事件就是“基本攻击”触发的“基本事件”。 从攻击的角度出发，事件之间的关联是指它们是否是同一个攻击行为所产生的， 这种攻击行为包括单个简单攻击行为或由一系列攻击步骤组成的复杂攻击行为。 根据上述入侵事件关联的描述，事件之间的关系可以进一步抽象为以下两种 关系： ( 1 ) 冗余关系 冗余关系事件往往是由一个简单攻击或一个复杂攻击的某个步骤触发多个系 统或多次触发一个系统所引起的。以常见的端口扫描为例，通常一次扫描攻击会同 时针对目标机的多个端口，这样同一个行为可能产生多个报警，我们将这一类事 件之间的联系称之为冗余关系。 ( 2 ) 因果关系 黑客的攻击行为总是沿一定的步骤和路径来进行的，在一个完整的攻击过程 中，由单个攻击步骤触发的报警事件可能存在其前因事件和可能带来的后果事件。 事件之间的因果关系显得比较隐蔽，揭示事件之间的因果关系有助于发现贯穿于整 个安全系统的攻击模式和入侵趋势，预见下一步将面临的威胁，从而提前阻止攻击 的发生，将系统的安全防御从被动式的“滞后型 转为主动式的“抢先型”。 实际上，许多告警事件并没有包含产生故障原因的信息。因为，在网络中如果 有一个故障产生，经常会导致接收到多个告警事件。在此种情况下，收到的告警报 告中含有很多冗余信息，准确分离和定位产生故障的原因非常困难。具体有以下几 种情况： 1 ) 由于一个故障，导致设备产生多个告警。 2 ) 故障本身间歇性发作，这意味着每当故障发生时便发送告警事件。 3 ) 当设备中某一个部件发生故障时，每次由设备部件提供的服务被激活时都 可能发生告警事件。 4 ) 单独的一个告警可能己经被多个网络部件检测到，每一个部件都发出告警 事件。 5 ) 已知部件的故障可能影响到其它几个部件，产生故障扩散，即故障的影响 会沿着网络设备扩散，如路由器和主机连接关系所形成的路径。 6 ) 多个故障同时发生，则此时告警事件有许多潜在重叠。 3 2 2 安全事件标准化 由于安全设备发送过来的日志采用的协议不同，报文内部的净荷格式也不同， 1 6 由于每个进程、应用程序和操作系统都或多或少地被独立完成，在s y s l o g 信 息内容会有一些不一致的地方。协议中并没有任何关于s y s l o g 信息的格式或内容 的假设。 s y s l o g 数据包的长度小于1 0 2 4 个字节，s y s l o g 采用用户数据报协议( u d p ) 作为其底层传输层机制。并携带下列信息： f a c i l i t y 一整数表示生成s y s l o g 信息源的种类。这里所说的源可能为操 作系统、进程或应用程序。 s e v e r i t y 一一位数整数表示信息的精确度。 h o s t n a m e 一主机名信息字段由主机名字( 正如在其主机上所配置的) 或i p 地址组成。在使用于多个接口的设备中，如路由器或防火墙，s y s l o g 采用发射信息 的接口i p 地址作为主机名。一矗 t i m e s t a m p 一时戳是指设备生成信息时的本机时间，格式为m m md dh h ：m m ：s s m e s s a g e 一指s y s l o g 信息的文本，还包括其它一些关于产生信息过程的一 些附加信息。 j ，、j ? j ，。 ( 2 ) s n m pt r a p s n m p 是一种应用程序协议，封装在u d p 中。各种版本的s n m p 信