论文部分内容阅读
摘要:传统的网络安全技术如防火墙(Firewall),入侵检测系统(IDS),入侵检测防御系统(IPS)等面临着新的问题。针对这些问题,安全事件管理器作为一种新的网络安全防护技术,成为网络安全研究领域的热点,本文主要介绍了安全事件管理器技术的概念,应用技术及其最新的研发趋势。
关键词:安全事件管理器;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献:
[1]贾小晶,李建华,张少俊.基于规则的分层式安全事件管理[J].信息安全与通信保密,2005,(02).
[2]沈星星,程学旗.基于数据流管理平台的网络安全事件监控系统[J].小型微型计算机系统,2006,27(2).
关键词:安全事件管理器;网络安全
中图分类号:TP393文献标识码:A文章编号:1009-3044(2008)08-10ppp-0c
1 相关背景
随着网络应用的发展,网络信息安全越来越成为人们关注的焦点,同时网络安全技术也成为网络技术研究的热点领域之一。到目前为止,得到广泛应用的网络安全技术主要有防火墙(Firewall),IDS,IPS系统,蜜罐系统等,这些安全技术在网络安全防护方面发挥着重要的作用。但是随着网络新应用的不断发展,这些技术也受到越来越多的挑战,出现了不少的问题,主要体现在以下三个方面:
(1)众多异构环境下的安全设备每天产生大量的安全事件信息,海量的安全事件信息难以分析和处理。
(2)网络安全应用的发展,一个组织内可能设置的各种安全设备之间无法信息共享,使得安全管理人员不能及时掌网络的安全态势。
(3)组织内的各种安全设备都针对某一部分的网络安全威胁而设置,整个组织内各安全设备无法形成一个有效的,整合的安全防护功能。
针对以上问题,安全事件管理器技术作为一种新的网络安全防护技术被提出来了,与其它的网络安全防护技术相比,它更强调对整个组织网络内的整体安全防护,侧重于各安全设备之间的信息共享与信息关联,从而提供更为强大的,更易于被安全人员使用的网络安全保护功能。
2 安全事件管理器的概念与架构
2.1 安全事件管理器概念
安全事件管理器的概念主要侧重于以下二个方面:
(1)整合性:现阶段组织内部安装的多种安全设备随时产生大量的安全事件信息,安全事件管理器技术注重将这些安全事件信息通过各种方式整合在一起,形成统一的格式,有利于安全管理人员及时分析和掌握网络安全动态。同时统一的、格式化的安全事件信息也为专用的,智能化的安全事件信息分析工具提供了很有价值的信息源。
(2)闭环性:现有的安全防护技术大都是针对安全威胁的某一方面的威胁而采取防护。因此它们只关注某一类安全事件信息,然后作出判断和动作。随着网络入侵和攻击方式的多样化,这些技术会出现一些问题,主要有误报,漏报等。这些问题的主要根源来自于以上技术只侧重对某一类安全事件信息分析,不能与其它安全设备产生的信息进行关联,从而造成误判。安全事件管理器从这个角度出发,通过对组织内各安全设备产生的信息进行整合和关联,实现对安全防护的闭环自反馈系统,达到对网络安全态势更准确的分析判断结果。
从以上二个方面可以看出,安全事件管理器并没有提供针对某类网络安全威胁直接的防御和保护,它是通过整合,关联来自不同设备的安全事件信息,实现对网络安全状况准确的分析和判断,从而实现对网络更有效的安全保护。
2.2 安全事件管理器的架构
安全事件管理器的架构主要如下图所示。
图1 安全事件事件管理系统结构与设置图
从图中可以看出安全事件管理主要由三个部分组成的:安全事件信息的数据库:主要负责安全事件信息的收集、格式化和统一存储;而安全事件分析服务器主要负责对安全事件信息进行智能化的分析,这部分是安全事件管理系统的核心部分,由它实现对海量安全事件信息的统计和关联分析,形成多层次、多角度的闭环监控系统;安全事件管理器的终端部分主要负责图形界面,用于用户对安全事件管理器的设置和安全事件警报、查询平台。
3 安全事件管理器核心技术
3.1 数据抽取与格式化技术
数据抽取与格式化技术是安全事件管理器的基础,只要将来源不同的安全事件信息从不同平台的设备中抽取出来,并加以格式化成为统一的数据格式,才可以实现对安全设备产生的安全事件信息进行整合、分析。而数据的抽取与格式化主要由两方面组成,即数据源获取数据,数据格式化统一描述。
从数据源获取数据主要的途径是通过对网络中各安全设备的日志以及设备数据库提供的接口来直接获取数据,而获取的数据都是各安全设备自定义的,所以要对数据要采用统一的描述方式进行整理和格式化,目前安全事件管理器中采用的安全事件信息表达格式一般采用的是基于XML语言来描述的,因为XML语言是一种与平台无关的标记描述语言,采用文本方式,因而通过它可以实现对安全事件信息的统一格式的描述后,跨平台实现对安全事件信息的共享与交互。
3.2 关联分析技术与统计分析技术
关联分析技术与统计分析技术是安全事件管理器的功能核心,安全事件管理器强调是多层次与多角度的对来源不同安全设备的监控信息进行分析,因此安全事件管理器的分析功能也由多种技术组成,其中主要的是关联分析技术与统计分析技术。
关联分析技术主要是根据攻击者入侵网络可能会同时在不同的安全设备上留下记录信息,安全事件管理器通过分析不同的设备在短时间内记录的信息,在时间上的顺序和关联可有可能准备地分析出结果。而统计分析技术则是在一段时间内对网络中记录的安全事件信息按属性进行分类统计,当某类事件在一段时间内发生频率异常,则认为网络可能面临着安全风险危险,这是一种基于统计知识的分析技术。与关联分析技术不同的是,这种技术可以发现不为人知的安全攻击方式,而关联分析技术则是必须要事先确定关联规则,也就是了解入侵攻击的方式才可以实现准确的发现和分析效果。
4 安全事件管理器未来的发展趋势
目前安全事件管理器的开发已经在软件产业,特别是信息安全产业中成为了热点,并形成一定的市场。国内外主要的一些在信息安全产业有影响的大公司如: IBM和思科公司都有相应的产品推出,在国内比较有影响是XFOCUS的OPENSTF系统。
从总体上看,随着网络入侵手段的复杂化以及网络安全设备的多样化,造成目前网络防护中的木桶现象,即网络安全很难形成全方面的、有效的整体防护,其中任何一个设备的失误都可能会造成整个防护系统被突破。
从技术发展来看,信息的共享是网络安全防护发展的必然趋势,网络安全事件管理器是采用安全事件信息共享的方式,将整个网络的安全事件信息集中起来,进行分析,达到融合现有的各种安全防护技术,以及未来防护技术兼容的优势,从而达到更准备和有效的分析与判断效果。因此有理由相信,随着安全事件管理器技术的进一步发展,尤其是安全事件信息分析技术的发展,安全事件管理器系统必然在未来的信息安全领域中占有重要的地位。
参考文献:
[1]贾小晶,李建华,张少俊.基于规则的分层式安全事件管理[J].信息安全与通信保密,2005,(02).
[2]沈星星,程学旗.基于数据流管理平台的网络安全事件监控系统[J].小型微型计算机系统,2006,27(2).