论文部分内容阅读
随着网络规模的扩大和网络应用的丰富,网络活动正呈级数增加,为了应对随之而来的安全问题,出现了防火墙、IDS(入侵检测系统)、AV(防病毒系统)等多种安全防护技术。事实上,在一个常见的网络部署中,除了路由器、Web及Ftp服务器、主机等常规设备以外,往往也囊括了上述提及的所有安全设备。一方面,具有不同技术侧重的安全设备从不同的角度满足了安全需求,而另一方面形式多样的产品形态也给网络安全管理带来了巨大障碍。在传统的安全分析方法中,总是以人工的方式通过分析相关安全设备的日志来获取特定的安全相关信息,这种方式在每天以GB为单位的日志量条件下已完全失去意义。因此,无论是局域网络还是广域网络,都迫切需要一个自动的、综合的安全分析解决方案来对网络进行集中管理。然而,在复杂的网络环境下对缺乏集成、缺乏互操作性的不同软硬件产品提供一个统一的安全管理平台并非易事。怎样从形式不一的设备日志中摘取感兴趣的信息、怎样将可能的事件关联起来从而发现网络正在发生的事情、怎样对检测到的安全状况做出处理,这些都是一个集中安全分析方案所必须面对的问题。本文从安全事件关联分析的角度对上述问题进行了研究。文章以传统的入侵检测技术为起点,对现有事件关联分析技术中基于编码的关联技术、基于推理的关联技术、基于形式语言的关联技术进行了深入探讨,对现有技术存在的缺陷与不足进行了分析。针对现有方案中理论探讨过多,而缺少实质性关联实施技术的现状,本文设计了一套进行安全事件关联分析的具体实施方案,并将准确性、通用性、实时性和安全性作为安全分析技术的首要考虑因素。整个方案涵盖了事件采集与归一化、重复事件汇总、异构事件源关联、告警与漏洞信息关联等。在此基础上,本文提出了一种基于语义嵌套规则的关联分析技术,给出了相应的匹配算法及伪码实现。由测试得到的实验数据可以看到,该分析技术在性能及分析效果上都有较为满意的表现。以上述理论探索及实践为基础,依托国家863多数据源强审计项目的实际需求,设计并实现了一个基于JMX框架的企业级事件分析引擎,该引擎在安全上实现了权限认证机制、日志审计机制,在响应策略上实现了控制台实时告警、邮