论文部分内容阅读
在过去的几年中安全技术取得的了长足的发展,涌现出大量安全设备,但是由于缺乏统一的业界标准,难于实现设备的统一管理,设备间的信息交互更是难于实现,导致了设备间的信息鸿沟。
其中事件管理便是最大的难点,更是实现安全事件快速响应的关键。通常情况下一个企业网络的事件产生峰值在每秒6000条以上,远超出人工实时审计的极限,IDS等网络设备的误报率据高不下,管理员被海量数据淹没导致无法对重要安全事件做出及时响应。
集中审计系统的设计旨在解决以上难题,对各种网络事件进行集中管理。通过事件的关联分析,追踪和还原攻击场景,提供事件的自动响应机制。集中安全审计系统对于安全事件的处理是一个由原始数据收集到发现知识直至采取适当措施的过程。作者在论文中给出了各阶段关键技术的研究与实现,所做工作、技术难点与创新处如下:
1.高可扩展性及可靠性的设计模式:系统采用了微内核(MicroKernel)模式,并且通过ServiceLocator模式实现调用者与实现者的解偶,从而实现微内核容器和插件。系统中的微内核形成了一条软总线,通过增加插件模式的安全中间件可以支持不断出现的各种安全设备。
2.对象池技术:面对系统中的大量短任务及数据访问请求,系统通过建立对象及线程缓冲池,来减少对象创建及销毁时的消耗,提高响应速度。
3.事件收集及归一化:审计系统通过Syslog、SNMP、文件或是API等收集不同设备和系统的事件。为了灵活便捷的实现对不同日志的解析,作者采用LEX辅助自动生成日志解析程序。日志的归一化是集中保存和关联分析的前提,文中作者给出了兼顾效率及可扩展性的归一化结构。
4.事件的关联分析:目前IDS的高误报率已成为安全管理面对难题。集中安全审计系统作为比IDS、防病毒网关、防火墙等安全设备更高层次的安全系统,可以通过有效的关联全网的安全事件从而给出更加精确的判断,同时有效的分析攻击的有效性,减少安全管理员的分析工作。作者采用状态机技术与自行设计的基于XML的攻击场景描述语言,实现了不同事件的实时关联及攻击场景的还原。在事后分析技术上,作者研究采用数据挖掘技术实现了事件间相关性的挖掘。
5.系统的监控与恢复:通过模拟生物免疫系统工作机理及其多层结构,集中审计系统协调网络中的安全设备形成类似于皮肤的外层防御,同时通过安置在主机Agent实现监控与恢复,形成类似于免疫细胞的深层防御。