緒論：寫作既是個人情感的抒發，也是對學術真理的探索，歡迎閱讀由發表云整理的11篇網絡安全事件定義范文，希望它們能為您的寫作提供參考和啟發。

篇（1）

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

1 相關背景

隨著網絡應用的發展，網絡信息安全越來越成為人們關注的焦點，同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止，得到廣泛應用的網絡安全技術主要有防火墻（Firewall），IDS，IPS系統，蜜罐系統等，這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展，這些技術也受到越來越多的挑戰，出現了不少的問題，主要體現在以下三個方面：

(1)眾多異構環境下的安全設備每天產生大量的安全事件信息，海量的安全事件信息難以分析和處理。

(2)網絡安全應用的發展，一個組織內可能設置的各種安全設備之間無法信息共享，使得安全管理人員不能及時掌網絡的安全態勢。

(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置，整個組織內各安全設備無法形成一個有效的，整合的安全防護功能。

針對以上問題，安全事件管理器技術作為一種新的網絡安全防護技術被提出來了，與其它的網絡安全防護技術相比，它更強調對整個組織網絡內的整體安全防護，側重于各安全設備之間的信息共享與信息關聯，從而提供更為強大的，更易于被安全人員使用的網絡安全保護功能。

2 安全事件管理器的概念與架構

2.1 安全事件管理器概念

安全事件管理器的概念主要側重于以下二個方面：

(1)整合性：現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息，安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起，形成統一的格式，有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的，智能化的安全事件信息分析工具提供了很有價值的信息源。

(2)閉環性：現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息，然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化，這些技術會出現一些問題，主要有誤報，漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析，不能與其它安全設備產生的信息進行關聯，從而造成誤判。安全事件管理器從這個角度出發，通過對組織內各安全設備產生的信息進行整合和關聯，實現對安全防護的閉環自反饋系統，達到對網絡安全態勢更準確的分析判斷結果。

從以上二個方面可以看出，安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護，它是通過整合，關聯來自不同設備的安全事件信息，實現對網絡安全狀況準確的分析和判斷，從而實現對網絡更有效的安全保護。

2.2 安全事件管理器的架構

安全事件管理器的架構主要如下圖所示。

圖1 安全事件事件管理系統結構與設置圖

從圖中可以看出安全事件管理主要由三個部分組成的：安全事件信息的數據庫：主要負責安全事件信息的收集、格式化和統一存儲；而安全事件分析服務器主要負責對安全事件信息進行智能化的分析，這部分是安全事件管理系統的核心部分，由它實現對海量安全事件信息的統計和關聯分析，形成多層次、多角度的閉環監控系統；安全事件管理器的終端部分主要負責圖形界面，用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。

3 安全事件管理器核心技術

3.1 數據抽取與格式化技術

數據抽取與格式化技術是安全事件管理器的基礎，只要將來源不同的安全事件信息從不同平臺的設備中抽取出來，并加以格式化成為統一的數據格式，才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成，即數據源獲取數據，數據格式化統一描述。

從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據，而獲取的數據都是各安全設備自定義的，所以要對數據要采用統一的描述方式進行整理和格式化，目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的，因為XML語言是一種與平臺無關的標記描述語言，采用文本方式，因而通過它可以實現對安全事件信息的統一格式的描述后，跨平臺實現對安全事件信息的共享與交互。

3.2 關聯分析技術與統計分析技術

關聯分析技術與統計分析技術是安全事件管理器的功能核心，安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析，因此安全事件管理器的分析功能也由多種技術組成，其中主要的是關聯分析技術與統計分析技術。

關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息，安全事件管理器通過分析不同的設備在短時間內記錄的信息，在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計，當某類事件在一段時間內發生頻率異常，則認為網絡可能面臨著安全風險危險，這是一種基于統計知識的分析技術。與關聯分析技術不同的是，這種技術可以發現不為人知的安全攻擊方式，而關聯分析技術則是必須要事先確定關聯規則，也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。

4 安全事件管理器未來的發展趨勢

目前安全事件管理器的開發已經在軟件產業，特別是信息安全產業中成為了熱點，并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如： IBM和思科公司都有相應的產品推出，在國內比較有影響是XFOCUS的OPENSTF系統。

從總體上看，隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化，造成目前網絡防護中的木桶現象，即網絡安全很難形成全方面的、有效的整體防護，其中任何一個設備的失誤都可能會造成整個防護系統被突破。

從技術發展來看，信息的共享是網絡安全防護發展的必然趨勢，網絡安全事件管理器是采用安全事件信息共享的方式，將整個網絡的安全事件信息集中起來，進行分析，達到融合現有的各種安全防護技術，以及未來防護技術兼容的優勢，從而達到更準備和有效的分析與判斷效果。因此有理由相信，隨著安全事件管理器技術的進一步發展，尤其是安全事件信息分析技術的發展，安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。

篇（2）

對于文中平臺主要功能的實現，則主要通過業務邏輯層來完成，概括起來主要包含四個方面的功能。

1設備管理

對于設備管理模塊來說，可以作為其他功能模塊的基礎，是其他模塊有機結合的基礎模塊，主要包括幾個子功能：(1)設備信息管理；(2)設備狀態監控；(3)設備拓撲管理等。這些子功能的實現，可以在網絡拓撲和手動的基礎上，通過統一通信接口來對設備的狀態和性能進行實施的監控和管理，必要的情況下，還可以通過圖形化的方式來表示，方便平臺和系統管理員對設備運行狀態的及時掌握和定位，減輕管理員的工作量。

2事件分析

作為安全設備管理平臺的核心模塊，安全事件分析模塊的目的就是對大量的網絡事件進行分析和處理、篩選，減輕管理員的工作壓力，所以，該功能模塊的主要子功能有安全時間分類統計、關聯分析和處理等。同樣，該功能模塊也能夠通過統一通信接口來對各個安全設備所生成的時間報告進行收集、統計，在統計分析的過程中，可以根據不同的標準進行分類，如時間、事件源、事件目的和事件類型等，通過科學統計和分析，還可以利用圖表的方式進行結果顯示，從而實現對安全事件內容關系及其危害程度進行準確分析的目的，并從海量的安全事件中挑選出危險程度最高的事件供管理員參考。

3策略管理

安全設備管理平臺中的策略管理模塊包含多個功能，即策略信息管理、沖突檢測和策略決策等功能。通過對各類安全設備的策略進行標準化定義的基礎上，就可以統一對設備的策略定義進行管理和修改，對當前所采用的策略進行網絡安全事件沖突檢測，及時發現可能存在的網絡設置沖突和異常，確保網絡策略配置的正確性和合理性。通過對網絡環境中安全事件的深入分析，在跟當前所采用安全策略相比較的基礎上，就能夠為設備的安全設置提供合理化建議，從而實現對網絡安全設備設置的決策輔助和支持。

4級別評估

最后一個功能模塊就是安全級別評估模塊，該模塊的主要任務就是對網絡商業設備安全制度的收集匯總、實施情況的總結和級別的評估等。該模塊通過對網絡安全事件的深入分析，在結合安全策略設置的基礎上，實現對網絡安全水平的準確評估，從而為網絡安全管理的實施和水平的提高提供有價值的數據參考。

平臺中的通信方法

要實現網絡中異構安全設備的統一管理，就需要通過統一的通信接口來實現，該接口的主要功能就是通過對網絡中異構設備運行狀態、安全事件等信息的定時獲取，從技術的角度解決異構設備所造成的安全信息格式不兼容和通信接口多樣的問題，實現網絡安全信息的標準化和格式的標準化。

1資源信息標準化

在網絡安全管理中，所涉及到的安全資源信息主要包括安全設備的運行狀態、設備配置策略信息和安全事件信息等。其中，安全設備的運行狀態信息主要通過數據交換層中的通信程序通過跟安全設備的定時通信來得到，可以通過圖表的方式進行可視化。這些資源信息主要采用RRD文件的方式進行存儲，但是采用數據庫存儲的則比較少，這主要是由于：(1)RRD文件適合某個時間點具有特定值且具有循環特性的數據存儲；(2)如果對多臺安全設備的運行狀態進行監控的情況下，就應該建立跟數據庫的多個連接，給后臺數據庫的通信造成影響。對于上面提到的安全設備的運行狀態信息和安全事件信息，通過對各種安全設備信息表述格式的充分考慮，本文中所設計平臺決定采用XML語言來對設備和平臺之間的差異性進行描述，不僅實現了相應的功能，還能夠為平臺提供調用轉換。而對于安全策略類的信息，則是先通過管理員以手動的方式將安全策略添加到平臺，然后再在平臺中進行修改，之后就可以在通過平臺的檢測沖突，由平臺自動生成設備需要的策略信息，然后再通過管理員對策略進行手動的修改。

2格式標準化

對于安全事件和策略的格式標準化問題，可以通過格式的差異描述文件來實現彼此之間的轉換，這里提到的差異描述文件則采用XML格式來表述，而格式的自動轉換則通過JavaBean的內置缺省功能來實現。

3通信處理機制

篇（3）

目前醫院網絡安全技術基本上還是單兵作戰，由殺毒軟件和防火墻等獨立安全產品對攻擊進行防御。這些防范措施漏洞百出，被動挨打，無法實現真正的全局網絡安全。而醫院網絡安全事關重大，院內管理、處方監控、患者服務等等信息，關乎生命健康，因此確保醫院網絡安全，具有重大的社會意義。

多兵種協同作戰

確保醫院全局網絡安全

在我國網絡安全領域居于領先地位的GSN全局安全解決方案，集自動、主動、聯動特征于一身，使擁有“縱深防御”特性的新型網絡安全模式成為可能。目前已經開始應用于醫療衛生單位，并在2006年底，以廈門集美大學網絡為平臺，建成了全國唯一一個萬人規模下全局網絡安全應用工程，獲得2007年第八屆信息安全大會最佳安全實踐獎。

GSN（Global Security Network全局安全網絡），由安全交換機、安全管理平臺、安全計費管理系統、網絡入侵檢測系統、安全修復系統等多重網絡元素聯合組成，能實現同一網絡環境下的全局聯動。GSN將用戶入網強制安全、主機信息收集和健康性檢查、安全事件下的設備聯動，集成到一個網絡安全解決方案中，用“多兵種”協同作戰的方式，實現網絡全方位安全，同時實現對網絡安全威脅的自動防御，網絡受損系統的自動修復。GSN擁有針對網絡環境變化和新網絡行為的自動學習能力，防范未知安全事件，從被動防御變成了主動出擊。

GSN在醫院網絡中作用機制

“聯動”是GSN精髓所在。GSN的入侵檢測系統分布在網絡的各個角落，進行安全事件檢測，最終上報給安全管理平臺。當網絡被病毒攻擊時，安全管理平臺自動將安全策略下發到安全事件發生的網絡區域，并自動同步到整個網絡中，從而達到網絡自動防御。

安全管理平臺對安全事件的處理主要包括下發警告消息，下發修復程序，下發阻斷或者隔離策略。根據不同等級的安全事件，管理員能夠制定不同的處理方式。如針對安全等級較低，危害較小的攻擊（如掃描），管理員只下發警告消息。如果某些攻擊是由于未打某補丁，則可以下發修復程序，由用戶進行修復。如果某安全事件危害很大（如蠕蟲病毒），則可以下發阻斷或者隔離策略，對用戶進行隔離，或者阻斷其攻擊報文的發送，避免該蠕蟲病毒在整個局域網中傳播。

篇（4）

1網絡安全管理要素

目前，隨著互聯網的普及與發展，人們對網絡的應用越來越廣泛，對網絡安全的意識也不斷增強，尤其是對于企業而言，網絡安全管理一直以來都存在諸多問題。網絡安全管理涉及到的要素非常多，例如安全策略、安全配置、安全事件以及安全事故等等，這些要素對于網絡安全管理而言有著重大影響，針對這些網絡安全管理要素的分析與研究具有十分重要的意義。

1.1安全策略

網絡安全的核心在于安全策略。在網絡系統安全建立的過程中，安全策略具有重要的指導性作用。通過安全策略，可以網絡系統的建立的安全性、資源保護以及資源保護方式予以明確。作為重要的規則，安全策略對于網絡系統安全而言有著重要的控制作用。換言之，就是指以安全需求、安全威脅來源以及組織機構狀況為出發點，對安全對象、狀態以及應對方法進行明確定義。在網絡系統安全檢查過程中，安全策略具有重要且唯一的參考意義。網絡系統的安全性、安全狀況以及安全方法，都只有參考安全策略。作為重要的標準規范，相關工作人員必須對安全策略有一個深入的認識與理解。工作人員必須采用正確的方法，利用有關途徑，對安全策略及其制定進行了解，并在安全策略系統下接受培訓。同時，安全策略的一致性管理與生命周期管理的重要性不言而喻，必須確保不同的安全策略的和諧、一致，使矛盾得以有效避免，否則將會導致其失去實際意義，難以充分發揮作用。安全策略具有多樣性，并非一成不變，在科學技術不斷發展的背景下，為了保證安全策略的時效性，需要對此進行不斷調整與更新。只有在先進技術手段與管理方法的支持下，安全策略才能夠充分發揮作用。

1.2安全配置

從微觀上來講，實現安全策略的重要前提就是合理的安全配置。安全配置指的是安全設備相關配置的構建，例如安全設備、系統安全規則等等。安全配置涉及到的內容比較廣泛，例如防火墻系統。VPN系統、入侵檢測系統等等，這些系統的安全配置及其優化對于安全策略的有效實施具有十分重要的意義。安全配置水平在很大程度上決定了安全系統的作用是否能夠發揮。合理、科學的安全配置能夠使安全系統及設備的作用得到充分體現，能夠很好的符合安全策略的需求。如果安全配置不當，那么就會導致安全系統設備缺乏實際意義，難以發揮作用，情況嚴重時還會產生消極影響。例如降低網絡的流暢性以及網絡運行效率等等。安全配置的管理與控制至關重要，任何人對其隨意更改都會產生嚴重的影響。并且備案工作對于安全配置也非常重要，應做好定期更新工作，并進行及時檢查，確保其能夠將安全策略的需求能夠反映出來，為相關工作人員工作的開展提供可靠的依據。

1.3安全事件

所謂的安全事件，指的是對計算機系統或網絡安全造成不良影響的行為。在計算機與域網絡中，這些行為都能夠被觀察與發現。其中破壞系統、網絡中IP包的泛濫以及在未經授權的情況下對另一個用戶的賬戶或系統特殊權限的篡改導致數據被破壞等都屬于惡意行為。一方面，計算機系統與網絡安全指的是計算機系統與網絡數據、信息的保密性與完整性以及應用、服務于網絡等的可用性。另一方面，在網絡發展過程中，網絡安全事件越來越頻繁，違反既定安全策略的不在預料之內的對系統與網絡使用、訪問等行為都在安全事件的范疇之內。安全事件是指與安全策略要求相違背的行為。安全事件涉及到的內容比較廣泛，包括安全系統與設備、網絡設備、操作系統、數據庫系統以及應用系統的日志與之間等等。安全事件將網絡、操作以及應用系統的安全情況與發展直接的反映了出來，對于網絡系統而言，其安全狀況可以通過安全事件得到充分體現。在安全管理中，安全事件的重要性不言而喻，安全事件的特點在于數量多、分布散、技術復雜等。因此，在安全事件管理中往往存在諸多難題。在工作實踐中，不同的管理人員負責不同的系統管理。由于日志與安全事件數量龐大，系統安全管理人員往往難以全面觀察與分析，安全系統與設備的安全缺乏實際意義，其作用也沒有得到充分發揮。安全事件造成的影響有可能比較小，然而網絡安全狀況與發展趨勢在很大程度上受到這一要素的影響。必須采用相應的方法對安全事件進行收集，通過數據挖掘、信息融合等方法，對其進行冗余處理與綜合分析，以此來確定對網絡、操作系統、應用系統產生影響的安全事件，即安全事故。

1.4安全事故

安全事故如果產生了一定的影響并造成了損失，就被稱為安全事故。如果有安全事故發生那么網絡安全管理人員就必須針對此采取一定的應對措施，使事故造成的影響以及損失得到有效控制。安全事故的處理應具有準確性、及時性，相關工作人員應針對事故發生各方面要素進行分析，發現事故產生的原因，以此來實現對安全事故的有效處理。在安全事故的處理中，應對信息資源庫加以利用，對事故現場系統或設備情況進行了解，如此才能夠針對實際情況采取有效的技術手段，使安全事故產生的影響得到有效控制。

1.5用戶身份管理

在統一網絡安全管理體系中，用戶管理身份系統占據著重要地位。最終用戶是用戶身份管理的主要對象，通過這部分系統，最終用戶可以獲取集中的身份鑒別中心功能。在登錄網絡或者對網絡資源進行使用的過程中，身份管理系統會鑒別用戶身份，以此保障用戶的安全。

2企業網絡安全方案研究

本文以某卷煙廠網絡安全方案為例，針對網絡安全技術在OSS中的應用進行分析。該企業屬于生產型企業，其網絡安全部署圖具體如圖1所示。該企業網絡安全管理中，采用針對性的安全部署策略，采用安全信息收集與信息綜合的方法實施網絡安全管理。在網絡設備方面，作為網絡設備安全的基本防護方法：①對設備進行合理配置，為設備所需的必要服務進行開放，僅運行指定人員的訪問；②該企業對設備廠商的漏洞予以高度關注，對網絡設備補丁進行及時安裝；③全部網絡設備的密碼會定期更換，并且密碼具有一定的復雜程度，其破解存在一定難度；④該企業對設備維護有著高度重視，采取合理方法，為網絡設備運營的穩定性提供了強有力的保障。在企業數據方面，對于企業而言，網絡安全的實施主要是為了病毒威脅的預防，以及數據安全的保護。作為企業核心內容之一，尤其是對于高科技企業而言，數據的重要性不言而喻。為此，企業內部對數據安全的保護有著高度重視。站在企業的角度，該企業安排特定的專業技術人員對數據進行觀察，為數據的有效利用提供強有力的保障。同時，針對于業務無關的人員，該企業禁止其對數據進行查看，具體采用的方法如下：①采用加密方法處理總公司與子公司之間傳輸的數據。現階段，很多大中型企業在各地區都設有分支機構，該卷煙廠也不例外，企業核心信息在公司之間傳輸，為了預防非法人員查看，其發送必須采取加密處理。并且，采用Internet進行郵件發送的方式被嚴令禁止；②為了確保公司內部人員對數據進行私自復制并帶出公司的情況得到控制，該企業構建了客戶端軟件系統。該系統不具備U盤、移動硬盤燈功能，無線、藍牙等設備也無法使用，如此一來，內部用戶將數據私自帶出的情況就能夠得到有效避免。此外，該企業針對辦公軟件加密系統進行構建，對辦公文檔加以制定，非制定權限人員不得查看。在內部網絡安全上，為了使外部網絡入侵得到有效控制，企業采取了防火墻安裝的方法，然而在網絡內部入侵上，該方法顯然無法應對。因此，該企業針對其性質進行細致分析，采取了內部網絡安全的應對方法。企業內部網絡可以分為兩種，即辦公網絡與生產網絡。前者可以對Internet進行訪問，存在較大安全隱患，而后者則只需將內部服務器進行連接，無需對Internet進行訪問。二者針對防火墻系統隔離進行搭建，使生產網絡得到最大限度的保護，為公司核心業務的運行提供保障。為了使網絡故障影響得到有效控制，應對網絡區域進行劃分，可以對VLAN加以利用，隔離不同的網絡區域，并在其中進行安全策略的設置，使區域間影響得到分隔，確保任何一個VLAN的故障不會對其他VLAN造成影響。在客戶端安全管理方面，該企業具有較多客戶端，大部分都屬于windows操作系統，其逐一管理難度打，因此企業內部采用Windows組側策略對客戶端進行管理。在生產使用的客戶端上，作業人員的操作相對簡單，只需要利用嚴格的限制手段，就可以實現對客戶端的安全管理。

參考文獻

[1]崔小龍.論網絡安全中計算機信息管理技術的應用[J].計算機光盤軟件與應用，2014（20）：181~182.

[2]何曉冬.淺談計算機信息管理技術在網絡安全中的應用[J].長春教育學院學報，2015（11）：61~62.

篇（5）

網絡安全態勢評估與態勢評測技術的研究在國外發展較早，最早的態勢感知的定義是在1988年由Endley提出的。它最初是指在特定的時間、空間范圍內，對周邊的環境進行感知，從而對事物的發展方向進行評測。我國對于網絡安全事件關聯細分與態勢評測技術起步較晚，但是國內的高校和科研機構都積極參與，并取得了不錯的成果。哈爾濱工業大學的教授建立了基于異質多傳感器融合的網絡安全態勢感知模型，并采用灰色理論，對各個關鍵性能指標的變化進行關聯分析，從而對網絡系統態勢變化進行綜合評估。中國科技大學等人提出基于日志審計與性能修正算法的網絡安全態勢評估模型，國防科技大學也提出大規模網絡安全態勢評估模型。這些都預示著，我國的網絡安全事件關聯分析與態勢評測技術研究有了一個新的進步，無論是大規模網絡還是態勢感知，都可以做到快速反應，提高網絡防御能力與應急響應處理能力，有著極高的實用價值[1]。

2網絡安全事件關聯分析技術概述

近年來，網絡安全一直遭受到黑客攻擊、病毒、漏洞等威脅，嚴重影響著網絡的運行安全。社會各界也對其極為重視，并采用相應技術來保障網絡系統的安全運行。比如Firewall，IDS，漏洞掃描，安全審計等。這些設備功能單一，是獨立的個體，不能協同工作。這樣直接導致安全事件中的事件冗余，系統反應慢，重復報警等情況越來越嚴重。加上網絡規模的逐漸增加，數據報警信息又多，管理員很難一一進行處理，這樣就導致報警的真實有效性受到影響，信息中隱藏的攻擊意圖更難發現。在實際操作中，安全事件是存在關聯關系，不是孤立產生的。網絡安全事件關聯分析就是通過對各個事件之間進行有效的關聯，從而將原來的網絡安全事件數據進行處理，通過過濾、發掘等數據事件之間的關聯關系，才能為網絡管理人員提供更為可靠、有價值的數據信息。近年來，社會各界對于網絡安全事件的關聯分析更為重視，已經成為網絡安全研究中必要的一部分，并取得了相應的成果。在一定程度上，縮減網絡安全事件的數量，為網絡安全態勢評估提供有效的數據支持。2.1網絡安全數據的預處理。由于網絡復雜多樣，在進行安全數據的采集中，采集到的數據形式也是多種多樣，格式復雜，并且存在大量的冗余信息。使用這樣的數據進行網絡安全態勢的分析，自然不會取得很有價值的結果。為了提高數據分析的準確性，就必須提高數據質量，因此就要求對采集到的原始數據進行預處理。常用的數據預處理方式分為3種：（1）數據清洗。將殘缺的數據進行填充，對噪聲數據進行降噪處理，當數據不一致的時候，要進行糾錯。（2）數據集成。網絡結構復雜，安全信息的來源也復雜，這就需要對采集到的數據進行集成處理，使它們的結構保持一致，并且將其存儲在相同的數據系統中。（3）將數據進行規范變化。2.2網絡安全態勢指標提取。構建合理的安全態勢指標體系是對網絡安全態勢進行合理評估和預測的必要條件。采用不同的算法和模型，對權值評估可以產生不同的評估結果。網絡的復雜性，使得數據采集復雜多變，而且存在大量冗余和噪音，如果不對其進行處理，就會導致在關聯分析時，耗時耗力，而且得不出理想的結果。這就需要一個合理的指標體系對網絡狀態進行分析處理，發現真正的攻擊，提高評估和預測的準確性。想要提高對網絡安全狀態的評估和預測，就需要對數據信息進行充分了解，剔除冗余，找出所需要的信息，提高態勢分析效率，減輕系統負擔。在進行網絡安全要素指標的提取時要統籌考慮，數據指標要全面而非單一，指標的提取要遵循4個原則：危險性、可靠性、脆弱性和可用性[2]。2.3網絡安全事件關聯分析。網絡數據具有不確定性、不完整性、變異性和模糊性的特點，就導致事件的冗余，不利于事件關聯分析，而且數據量極大，事件繁多，網絡管理人員對其處理也極為不便。為了對其進行更好的分析和處理，就需要對其進行數據預處理。在進行數據預處理時要統籌考慮，分析網絡安全事件的關聯性，并對其類似的進行合并，減少重復報警概率，從而提高網絡安全狀態評估的有效性。常見的關聯辦法有因果關聯、屬性關聯等。

3網絡安全態勢評測技術概述

網絡安全態勢是一個全局的概念，是指在網絡運行中，對引起網絡安全態勢發生變化的網絡狀態信息進行采集，并對其進行分析、理解、處理以及評測的一個發展趨勢。網絡安全態勢是網絡運行狀態的一個折射，根據網絡的歷史狀態等可以預測網絡的未來狀態。網絡態勢分析的數據有網絡設備、日志文件、監控軟件等。通過這些信息對其關聯分析，可以及時了解網絡的運行狀態。網絡安全態勢技術分析首先要對網絡環境進行檢測，然而影響網絡安全的環境很是復雜，時間、空間都存在，因此對信息進行采集之后，要對其進行分類、合并。然后對處理后的信息進行關聯分析和態勢評測，從而對未來的網絡安全態勢進行預測。3.1網絡安全態勢分析。網絡安全態勢技術研究分為態勢獲取、理解、評估、預測。態勢的獲取是指收集網絡環境中的信息，這些數據信息是態勢預測的前提。并且將采集到的數據進行分析，理解他們之間的相關性，并依據確定的指標體系，進行定量分析，尋找其中的問題，提出相應的解決辦法。態勢預測就是根據獲取的信息進行整理、分析、理解，從而來預測事物的未來發展趨勢，這也是網絡態勢評測技術的最終目的。只有充分了解網絡安全事件關聯與未來的發展趨勢，才能對復雜的網絡環境存在的安全問題進行預防，最大程度保證網絡的安全運行。3.2網絡安全態勢評測模型。網絡安全態勢評測離不開網絡安全態勢評測模型，不同的需求會有不同的結果。網絡安全態勢評測技術具備較強的主觀性，而且復雜多樣。對于網絡管理員來說，他們注意的是網絡的運行狀態，因此在評測的時候，主要針對網絡入侵和漏洞識別。對于銀行系統來說，數據是最重要的，對于軍事部門，保密是第一位的。因此網絡安全狀態不能采用單一的模型，要根據用戶的需求來選取合適的需求。現在也有多種態勢評測模型，比如應用在入侵檢測的Bass。3.3網絡安全態勢評估與預測。網絡安全態勢評估主要是對網絡的安全狀態進行綜合評估，使網絡管理者可以根據評估數據有目標地進行預防和保護操作，最常用的態勢評估方法是神經網絡、模糊推理等。網絡安全態勢預測的主要問題是主動防護，對危害信息進行阻攔，預測將來可能受到的網絡危害，并提出相應對策。目前常用的預測技術有很多，比如時間序列和Kalman算法等，大概有40余種。他們根據自身的拓撲結構，又可以分為兩類：沒有反饋的前饋網絡和變換狀態進行信息處理的反饋網絡。其中BP網絡就屬于前者，而Elman神經網絡屬于后者[3]。

4網絡安全事件特征提取和關聯分析研究

在構建網絡安全態勢指標體系時，要遵循全面、客觀和易操作的原則。在對網絡安全事件特征提取時，要找出最能反映安全態勢的指標，對網絡安全態勢進行分析預測。網絡安全事件可以從網絡威脅性信息中選取，通過端口掃描、監聽等方式進行數據采集。并利用現有的軟件進行掃描，采集網絡流量信息，找出流量的異常變化，從而發現網絡潛在的威脅。其次就是利用簡單網絡管理協議（SimpleNetworkManagementProtocol，SNMP）來進行網絡和主機狀態信息的采集，查看帶寬和CPU的利用率，從而找出問題所在。除了這些，還有服務狀態信息、鏈路狀態信息和資源配置信息等[4]。

5結語

近年來，隨著科技的快速發展，互聯網技術得到了一個質的飛躍。互聯網滲透到人們的生活中，成為人們工作、生活不可或缺的一部分，而且隨著個人計算機的普及應用，使得網絡的規模也逐漸增大，互聯網進入了大數據時代。數據信息的重要性與日俱增，同時網絡安全問題越來越嚴重。黑客攻擊、病毒感染等一些惡意入侵破壞網絡的正常運行，威脅信息的安全，從而影響著社會的和諧穩定。因此，網絡管理人員對當前技術進行深入的研究，及時掌控技術的局面，并對未來的發展作出正確的預測是非常有必要的。

作者:李勝軍 單位:吉林省經濟管理干部學院

[參考文獻]

[1]趙國生，王慧強，王健.基于灰色關聯分析的網絡可生存性態勢評估研究[J].小型微型計算機系統，2006（10）：1861-1864.

篇（6）

網絡安全態勢感知在安全告警事件的基礎上提供統一的網絡安全高層視圖，使安全管理員能夠快速準確地把握網絡當前的安全狀態，并以此為依據采取相應的措施。實現網絡安全態勢感知，需要在廣域網環境中部署大量的、多種類型的安全傳感器，來監測目標網絡系統的安全狀態。通過采集這些傳感器提供的信息，并加以分析、處理，明確所受攻擊的特征，包括攻擊的來源、規模、速度、危害性等，準確地描述網絡的安全狀態，并通過可視化手段顯示給安全管理員，從而支持對安全態勢的全局理解和及時做出正確的響應。

1.網絡安全態勢建模

安全態勢建模的主要目的是構建適應于度量網絡安全態勢的數據模型，以支持安全傳感器的告警事件精簡、過濾和融合的通用處理過程。用于安全態勢建模的數據源主要是分布式異構傳感器采集的各種安全告警事件。網絡安全態勢建模過程是由多個階段組成的。在初始的預處理階段，通過告警事件的規格化，將收到的所有安全事件轉化為能夠被數據處理模塊理解的標準格式。這些告警事件可能來自不同的傳感器，并且告警事件的格式各異，例如IDS的事件、防火墻日志、主機系統日志等。規格化的作用是將傳感器事件的相關屬性轉換為一個統一的格式。我們針對不同的傳感器提供不同的預處理組件，將特定傳感器的信息轉換為預定義的態勢信息模型屬性值。根據該模型，針對每個原始告警事件進行預處理，將其轉換為標準的格式，各個屬性域被賦予適當的值。在態勢數據處理階段，將規格化的傳感器告警事件作為輸入，并進行告警事件的精簡、過濾和融合處理。其中，事件精簡的目標是合并傳感器檢測到的相同攻擊的一系列冗余事件。典型的例子就是在端口掃描中，IDS可能對各端口的每個掃描包產生檢測事件，通過維護一定時間窗口內的事件流，對同一來源、同一目標主機的同類事件進行合并，以大大減少事件數量。事件過濾的目標是刪除不滿足約束要求的事件，這些約束要求是根據安全態勢感知的需要以屬性或者規則的形式存儲在知識庫中。例如，將關鍵屬性空缺或不滿足要求范圍的事件除去，因為這些事件不具備態勢分析的意義。另外，通過對事件進行簡單的確認，可以區分成功攻擊和無效攻擊企圖。在事件的過濾處理時，無效攻擊企圖并不被簡單地丟棄，而是標記為無關事件，因為即使是無效攻擊也代表著惡意企圖，對最終的全局安全狀態會產生某種影響。通過精簡和過濾，重復的安全事件被合并，事件數量大大減少而抽象程度增加，同時其中蘊含的態勢信息得到了保留。事件融合功能是基于D-S證據理論提供的，其通過將來自不同傳感器的、經過預處理、精簡和過濾的事件引入不同等級的置信度，融合多個屬性對網絡告警事件進行量化評判，從而有效降低安全告警事件的誤報率和漏報率，并且可以為網絡安全態勢的分析、推理和生成提供支持。

2.網絡安全態勢生成

2.1知識發現的關聯規則提取

用于知識發現的數據來源主要有兩個：模擬攻擊產生的安全告警事件集和歷史安全告警事件集。知識發現就是在這樣的告警事件集上發現和抽取出態勢關聯所需要的知識。由于安全報警事件的復雜性，這個過程難以完全依賴于人工來完成。可以通過知識發現的方法，針對安全告警事件集進行模式挖掘、模式分析和學習，以實現安全態勢關聯規則的提取。

2.2安全告警事件精簡和過濾

通過實驗觀察發現，安全傳感器的原始告警事件集中存在大量無意義的頻繁模式，而且這些頻繁模式大多是與系統正常訪問或者配置問題相關的。如果直接在這樣的原始入侵事件集上進行知識發現，必然產生很多無意義的知識。因此，需要以D-S證據理論為基礎建立告警事件篩選機制，根據告警事件的置信度進行程序的統計分析。首先，利用程序自動統計各類安全事件的分布情況。然后，利用D-S證據理論，通過精簡和過濾規則評判各類告警事件的重要性，來刪除無意義的事件。

2.3安全態勢關聯規則提取

在知識發現過程中發現的知識，通過加入關聯動作轉化為安全態勢的關聯規則，用于網絡安全態勢的在線關聯分析。首先，分析FP-Tree算法所挖掘的安全告警事件屬性間的強關聯規則，如果該規則所揭示的規律與某種正常訪問相關，則將其加入刪除動作，并轉化成安全告警事件的過濾規則。接著，分析Winepi算法所挖掘的安全告警事件間的序列關系。如果這種序列關系與某種類型的攻擊相關，形成攻擊事件的組合規則，則增加新的安全攻擊事件。最后，將形成的關聯規則轉化成形式化的規則編碼，加入在線關聯知識庫。

3.網絡安全態勢生成算法

網絡安全態勢就是被監察的網絡區域在一定時間窗口內遭受攻擊的分布情況及其對安全目標的影響程度。網絡安全態勢信息與時間變化、空間分布均有關系，對于單個節點主要表現為攻擊指數和資源影響度隨時間的變化，對于整個網絡區域則還表現為攻擊焦點的分布變化。對于某一時刻網絡安全態勢的計算，必須考慮一個特定的評估時間窗口T，針對落在時間窗口內的所有事件進行風險值的計算和累加。隨著時間的推移，一些告警事件逐漸移出窗口，而新的告警事件則進入窗口。告警事件發生的頻度反映了安全威脅的程度。告警事件頻發時，網絡系統的風險值迅速地累積增加；而當告警事件不再頻發時，風險值則逐漸地降低。首先，需要根據融合后的告警事件計算網絡節點的風險等級。主要考慮以下因素：告警置信度c、告警嚴重等級s、資源影響度m。其中，告警可信度通過初始定義和融合計算后產生；告警嚴重等級被預先指定，包含在告警信息中；資源影響度則是指攻擊事件對其目標的具體影響程度，不同攻擊類別對不同資源造成的影響程度不同，與具體配置、承擔的業務等有關。此外，還應考慮節點的安全防護等級Pn、告警恢復系數Rn等因素。

4.結束語

本文提出了一個基于知識發現的網絡安全態勢建模和生成框架。在該框架的基礎上設計并實現了網絡安全態勢感知系統，系統支持網絡安全態勢的準確建模和高效生成。實驗表明本系統具有統一的網絡安全態勢建模和生成框架；準確構建網絡安全態勢度量的形式模型；通過知識發現方法，有效簡化告警事件庫，挖掘頻繁模式和序列模式并轉化為態勢關聯規則。

篇（7）

0　引言

對電力企業信息內網海量安全事件進行高效、準確的關聯分析是實現電力企業網絡安全設備聯動的前提，而如何設計與實現一個高效的電力企業安全事件關聯分析引擎正是電力企業信息內網安全事件關聯分析應該解決的關鍵問題。

1　安全事件關聯分析研究現狀及存在的問題

關聯分析在網絡安全領域中是指對網絡全局的安全事件數據進行自動、連續分析，通過與用戶定義的、可配置的規則匹配來識別網絡潛在的威脅和復雜的攻擊模式，從而發現真正的安全風險，達到對當前安全態勢的準確、實時評估，并根據預先制定策略做出快速的響應，以方便管理人員全面監控網絡安全狀況的技術。關聯分析可以提高網絡安全防護效率和防御能力，并為安全管理和應急響應提供重要的技術支持。關聯分析主要解決以下幾個問題：

1）為避免產生虛警，將單個報警事件與可能的安全場景聯系起來；

2）為避免重復報警，對相同、相近的報警事件進行處理；

3）為達到識別有計劃攻擊的目的，增加攻擊檢測率，對深層次、復雜的攻擊行為進行挖掘；

4）提高分析的實時性，以便于及時進行響應。

2　安全事件關聯分析引擎的設計

安全事件關聯分析方法包括離線分析和在線分析兩種。離線分析是在事件發生后通過對日志信息的提取和分析，再現入侵過程，為入侵提供證據，其優點是對系統性能要求不高，但是實時性比較低，不能在入侵的第一時間做出響應。在線分析是對安全事件進行實時分析，雖然其對系統性能要求比較高，但是可以實時發現攻擊行為并實現及時響應。由于電力工業的特點決定了電力企業信息內網安全不僅具有一般企業內網安全的特征，而且還關系到電力實時運行控制系統信息的安全，所以對電力企業安全事件的關聯分析必須是實時在線的，本文所研究的安全事件關聯分析引擎是一個進行在線分析的引擎。

2.1　安全事件關聯分析系統

安全事件管理系統是國家電網網絡安全設備聯運系統的一個子系統，它是將安全事件作為研究對象，實現對安全事件的統一分析和處理，包括安全事件的采集、預處理、關聯分析以及關聯結果的實時反饋。

內網設備：內網設備主要是電力企業信息內網中需要被管理的對象，包括防病毒服務器、郵件內容審計系統、IDS、路由器等安全設備和網絡設備。通過端收集這些設備產生的安全事件，經過預處理后發送到關聯分析模塊進行關聯分析。

事件采集端：主要負責收集和處理事件信息。收集數據是通過Syslog、SNMP　trap、JDBC、ODBC協議主動的與內網設備進行通信，收集安全事件或日志信息。由于不同的安全設備對同一條事件可能產生相同的事件日志，而且格式各異，這就需要在端將數據發送給服務器端前對這些事件進行一些預處理，包括安全事件格式的規范化，事件過濾、以及事件的歸并。

關聯分析：其功能包括安全事件頻繁模式挖掘、關聯規則生成以及模式匹配。關聯分析方法主要是先利用數據流頻繁模式挖掘算法挖掘出頻繁模式，再用多模式匹配算法與預先設定的關聯規則進行匹配，產生報警響應。

控制臺：主要由風險評估、資產管理、報表管理和應急響應中心組成。風險評估主要是通過對日志事件的審計以及關聯分析結果，對企業網絡設備及業務系統的風險狀態進行評估。應急響應中心是根據結合電力企業的特點所制定的安全策略，對于不同的報警進行不同的響應操作。資產管理與報表管理分別完成對電力企業業務系統資產的管理和安全事件的審計查看等功能。另外，對于關聯分析模塊匹配規則、端過濾規則等的制定和下發等也在控制成。

數據庫：數據庫包括關聯規則庫、策略庫和安全事件數據庫三種。關聯規則庫用來存儲關聯分析所必須的關聯規則，策略庫用來存儲策略文件，安全事件數據庫用來存儲從端獲取用于關聯的數據、進行關聯的中間數據以及關聯后結果的數據庫。

2.2　關聯分析引擎結構

事件關聯分析引擎作為安全事件關聯分析系統的核心部分，由事件采集、通信模塊、關聯分析模塊和存儲模塊四部分組成。其工作原理為：首先接收安全事件采集發送來的安全事件，經過預處理后對其進行關聯分析，確定安全事件的危害程度，從而進行相應響應。引擎結構如圖1所示。

2.3　引擎各模塊功能設計

1）事件采集模塊。事件日志的采集由事件采集來完成。事件采集是整個系統的重要組成部分，它運行于電力企業內網中各種安全設備、網絡設備和系統終端上，包括采集模塊、解析模塊和通信模塊三個部分。它首先利用Syslog、trap、JDBC、ODBC協議從不同安全設備、系統中采集各種安全事件數據，由解析模塊進行數據的預處理，然后由通信模塊發送到關聯分析引擎。

2）事件預處理。由于日志數據來源于交換機、路由器、防火墻、網絡操作系統、單機操作系統、防病毒軟件以及各類網絡管理軟件，可能包含噪聲數據、空缺數據和不一致數據，這將嚴重影響數據分析結果的正確性。而通過數據預處理，則可以解決這個問題，達到數據類型相同化、數據格式一致化、數據信息精練化的目的。

事件預處理仍在事件采集中完成，主要包括事件過濾、事件范化和事件歸并三部分。

3）事件關聯分析模塊。事件的屬性包括：事件分類、事件嚴重等級、事件源地址、源端口、目的地址、目的端口、協議、事件發生時間等，這些屬性在關聯分析時需要用到，故把規則屬性集設置為：

各字段分別表示：規則名稱、源IP地址、目的IP地址、源端口號、目的端口號、協議、設備編號、事件發生時間、事件嚴重等級。

該模塊將經過處理的海量日志信息數據流在內存中利用滑動窗口處理模型，經過關聯分析算法進行關聯規則挖掘后，采用高效的模式匹配算法將得到的關聯規則與規則庫中預先設定的規則進行不斷的匹配，以便實時地發現異常行為，為后續告警響應及安全風險分析等提供依據。

3　結束語

本文首先基于引擎的設計背景介紹了引擎的總體結構以及關聯分析流程，然后分別給出了事件采集、事件關聯分析模塊的設計方案，包括模塊功能、模塊結構以及規則庫的設計方案。

參考文獻：

篇（8）

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)31-0800-03

The Cooperative Intrusion Detection System Model Based on Campus Network

LI Ang1,2, HU Xiao-long1

(1.School of Information Science and Engineering, Central South University, Changsha 410075, China; 2.Modern Education Technology Center, Hunan Institute of Technology, Hengyang 421002, China)

Abstract: Through the existing analysis of network security and intrusion detection technology, this paper puts forward a cooperative intrusion detection method. This new method collects information distributedly, processes in multilateral cooperation, and constructs the large-network IDS. Then, it collects the information from dialing users to detect whether there are vulnerabilities and virus in individual or not. By means of such functions, this method only permits the users with reliable network repairing system or with the updated latest virus library to access to the campus network. Only this can assure the safe operation of the whole campus network via the net and individuals.

Key words: campus network; network security; intrusion detection

1 網絡安全形勢分析

2007年，我國公共互聯網網絡整體上運行基本正常，但從CNCERT/CC接收和監測的各類網絡安全事件情況可以看出，網絡信息系統存在的安全漏洞和隱患層出不窮，利益驅使下的地下黑客產業繼續發展，網絡攻擊的種類和數量成倍增長，終端用戶和互聯網企業是主要的受害者，基礎網絡和重要信息系統面臨著嚴峻的安全威脅。在地下黑色產業鏈的推動下，網絡犯罪行為趨利性表現更加明顯，追求經濟利益依然是主要目標。黑客往往利用仿冒網站、偽造郵件、盜號木馬、后門病毒等，并結合社會工程學，竊取大量用戶數據牟取暴利，包括網游賬號、網銀賬號和密碼、網銀數字證書等。木馬、病毒等惡意程序的制作、傳播、用戶信息竊取、第三方平臺銷贓、洗錢等各環節的流水作業構成了完善的地下黑色產業鏈條，為各種網絡犯罪行為帶來了利益驅動，加之黑客攻擊手法更具隱蔽性，使得對這些網絡犯罪行為的取證、追查和打擊都非常困難[1]。

從IDC網絡安全調查數據來看，網絡的安全威脅主要來自三個方面：第一、網絡的惡意破壞者，也就是我們所說的黑客，造成的正常網絡服務的不可用、系統/數據的破壞；第二、無辜的內部人員造成的網絡數據的破壞、網絡病毒的蔓延擴散、木馬的傳播；第三、就是別有用心的間諜人員，通過竊取他人身份進行越權數據訪問，以及偷取機密的或者他人的私密信息。其中，由于內部人員而造成的網絡安全問題占到了70% 。

縱觀高校校園網安全現狀，我們會發現同樣符合上面的規律，即安全主要來自這三方面。而其中，來自校園網內部的安全事件占到了絕大多數。這與校園網的用戶是息息相關的。一方面，高校學生這群精力充沛的年輕一族對新鮮事物有著強烈的好奇心，他們有著探索的高智商和沖勁，卻缺乏全面思考的責任感。同時網絡也使得黑客工具等的獲取更加的輕松。另一方面，校園網內卻又存在著很多這樣的用戶，他們使用網絡來獲取資料，在網絡上辦公、娛樂，但是安全意識卻明顯薄弱，他們不愿意或者疏于安裝防火墻、殺毒軟件。

此外，我們的網絡管理者會發現，還面臨這其他一些挑戰，比如：

1) 用戶可以在隨意接入網絡，出現安全問題后無法追查到用戶身份；

2) 網絡病毒泛濫，網絡攻擊成上升趨勢。安全事件從發現到控制，基本采取手工方式，難以及時控制與防范；

3) 對于未知的安全事件和網絡病毒，無法控制；

4) 用戶普遍安全意識不足，校方單方面的安全控制管理，難度大；

5) 現有安全設備工作分散，無法協同管理、協同工作，只能形成單點防御。各種安全設備管理復雜，對于網絡的整體安全性提升有限。

6) 某些安全設備采取網絡內串行部署的方式，容易造成性能瓶頸和單點故障；

7) 無法對用戶的網絡行為進行記錄，事后審計困難；

總之，網絡安全保障已經成為各相關部門的工作重點之一，我國互聯網的安全態勢將有所改變。

2 入侵檢測概述

James Aderson在1980年使用了“威脅”概述術語，其定義與入侵含義相同。將入侵企圖或威脅定義未經授權蓄意嘗試訪問信息、竄改信息、使系統不可靠或不能使用。Heady給出定外的入侵定義，入侵時指任何企圖破壞資源的完整性、機密性及可用性的活動集合。Smaha從分類角度指出入侵包括嘗試性闖入、偽裝攻擊、安全控制系統滲透、泄漏、拒絕服務、惡意使用六種類型。

從技術上入侵檢測系統可分為異常檢測型和誤用檢測型兩大類。異常入侵檢測是指能夠根據異常行為和使用計算機資源情況檢測出來的入侵。異常檢測試圖用定量方式描述可接受的行為特征，以區別非正常的、潛在入侵。誤用入侵檢測是指利用已知系統和應用軟件的弱點攻擊模式來檢測入侵。與異常入侵檢測相反，誤用入侵檢測能直接檢測不利的或不可接受的行為，而異常入侵檢測是檢查同正常行為相違背的行為。

從系統結構上分，入侵檢測系統大致可以分為基于主機型、基于網絡型和基于主體型三種。

基于主機入侵檢測系統為早期的入侵檢測系統結構、其檢測的目標主要是主機系統和系統本地用戶。檢測原理是根據主機的審計數據和系統的日志發現可疑事件，檢測系統可以運行在被檢測的主機上。這種類型系統依賴于審計數據或系統日志準確性和完整性以及安全事件的定義。若入侵者設法逃避設計或進行合作入侵，則基于主機檢測系統就暴露出其弱點，特別是在現在的網絡環境下。單獨地依靠主機設計信息進行入侵檢測難以適應網絡安全的需求。這主要表現，一是主機的審計信息弱點，如易受攻擊，入侵者可通過通過使用某些系統特權或調用比審計本身更低級的操作來逃避審計。二是不能通過分析主機審計記錄來檢測網絡攻擊（域名欺騙、端口掃描等）。因此，基于網絡入侵檢測系統對網絡安全是必要的，這種檢測系統根據網絡流量、協議分析、簡單網絡管理協議信息等數據檢測入侵。主機和網絡型的入侵檢測系統是一個統一集中系統，但是，隨著網絡系統結構復雜化和大型化，系統的弱點或漏洞將趨向于分布式。另外，入侵行為不再是單一的行為，而是表現出相互協作入侵特點。入侵檢測系統要求可適應性、可訓練性、高效性、容錯性、可擴展性等要求。不同的IDS之間也需要共享信息，協作檢測。于是，美國普度大學安全研究小組提出基于主體入侵檢測系統。其主要的方法是采用相互獨立運行的進程組（稱為自治主體）分別負責檢測，通過訓練這些主體，并觀察系統行為，然后將這些主體認為是異常的行為標記出來，并將檢測結果傳送到檢測中心。另外，S?Staniford等人提出了CIDF[3]。目前CIDF正在研究之中[2]。

對于入侵檢測系統評估，主要性能指標有：

1) 可靠性――系統具有容錯能力和可連續運行；

2) 可用性――系統開銷要最小，不會嚴重降低網絡系統性能；

3) 可測試――通過攻擊可以檢測系統運行；

4) 適應性――對系統來說必須是易于開發和添加新的功能，能隨時適應系統環境的改變；

5) 實時性――系統能盡快地察覺入侵企圖以便制止和限制破壞；

6) 準確性――檢測系統具有低的誤警率和漏警率；

7) 安全性――檢測系統必須難于被欺騙和能夠保護自身安全[4]。

3 協作式入侵檢測系統模型

隨著黑客入侵手段的提高，尤其是分布式、協同式、復雜模式攻擊的出現和發展，傳統、單一、缺乏協作的入侵檢測技術已不能滿足需求，要有充分的協作機制，下面就提出協作式入侵檢測的基本模型。

3.1 協作式入侵檢測系統由以下幾個部分組成

1) 安全認證客戶端(SU)。能夠執行端點防護功能，并參與用戶的身份認證過程。參與了合法用戶的驗證工作完成認證計費操作，而且還要完成安全策略接收、系統信息收集、安全漏洞上傳，系統補丁接收修復等大量的工作，對系統的控制能力大大增強。

2) 安全計費服務器(SMA)。承擔身份認證過程中的Radius服務器角色，負責對網絡用戶接入、開戶，計費等系統管理工作外，還要負責與安全管理平臺的聯動，成為協作式入侵檢測系統中非常重要的一個環節。

3) 安全管理平臺(SMP)。用于制定端點防護策略、網絡攻擊防護防止規則，協調系統中的其他組件在網絡資源面臨的安全威脅進行防御，能夠完成事前預防、事中處理、事后記錄等三個階段的工作。智能的提供一次配置持續防護的安全服務。

4) 安全事件解析器(SEP)。接收處理NIDS發送過來的網絡攻擊事件信息，處理后發送給安全管理平臺，目的是屏弊不同廠家的NIDS的差異，把不同廠商、不同的入侵事件轉換成統一的安全管理平臺能處理的格式轉發給安全管理平臺，便于安全管理平臺處理。

5) 入侵檢測系統(IDS)。網絡入侵檢測設備，對網絡流量進行旁路監聽，檢測網絡攻擊事件，并通過SEP向安全管理平臺反饋網絡攻擊事件，由安全管理平臺處埋這些攻擊事件。一個網絡中可以布暑多個IDS設備。

入侵檢測系統由三個部分組成：

1) Sensor探測器，也就是我們常看到的硬件設備，它的作用是接入網絡環境，接收和分析網絡中的流量。

2) 控制臺：提供GUI管理界面，配置和管理所有的傳感器并接收事件報警、配置和管理對于不同安全事件的響應方式、生成并查看關于安全事件、系統事件的統計報告，控制臺負責把安全事件信息顯示在控制臺上。

3) EC（Event Collector）事件收集器，它主要起以下作用：負責從sensor接收數據、收集sensor日志信息、負責把相應策略及簽名發送給sensor、管理用戶權限、提供對用戶操作的審計，向SEP發送入侵事件等工作。EC可以和控制臺安裝在同一個工作站中。

3.2 協作式入侵檢測系統中組件間的交互過程

1) SAM和SMP的交互過程

在協作式入侵檢測系統中，SMP同SAM的關系就是，SMP連接到SAM。連接成功后，接收SAM發送的接入用戶上線，下線消息。Su上線，SAM發送用戶上線消息。Su下線，SAM發送用戶下線消息。Su重認證，SAM發送用戶上線消息。

2) JMS相關原理

SMP同SAM之間的交互是通過JMS（Java Message Service）。SAM啟動JBoss自帶的JMS服務器，該服務器用于接收和發送JMS消息。SAM同時也作為JMS客戶端（消息生產者），負責產生JMS信息，并且發送給JMS服務器，SMP也是JMS客戶端（消息消費者）。目前SAM所實現的JMS服務器是以“主題”的方式的，即有多少個JMS客戶端到JMS服務器訂閱JMS消息，JMS服務器就會發送給多少個JMS客戶端。當然了消息生產者也可以多個。相當于JMS服務器（如SAM）是一個郵局，其它如JMS客戶端（如SMP，NTD）都是訂閱雜志的用戶，同時SAM也作為出版商產生雜志。這樣，SAM產生用戶上下線消息，發送到SAM所在Jboss服務器的JMS服務器中，JMS服務器發現SMP訂閱了該消息，則發送該消息給SMP。

在協作式入侵檢測系統中，SMP就是JMS客戶端，SAM既作為JMS消息生產者，也作為JMS服務器。當SMP啟動時，SMP通過1099端口連接到SAM服務器，并且進行JMS消息的訂閱，訂閱成功后，即表示SMP同SAM聯動成功。當用戶通過su上線成功后，SAM根據JMS的格式，產生一條JMS信息，然后發送給JMS服務器，JMS服務器檢查誰訂閱了它的JMS消息，然后發送給所有的JMS用戶。

3) SU和SMP的交互過程

間接交互：對于Su上傳的端點防護HI狀態（成功失敗），HI配置文件更新請求，每個Su請求的響應報文，SMP下發給Su的相關命令，均通過交換機進行透傳，即上傳的信息都包含再SNMP Trap中，下發的信息都包含在SNMP Set報文中。交換機將Su上傳的EAPOL報文封裝在SNMP Trap包中，轉發給SMP。交換機將SMP下發的SNMP Set報文進行解析，提取出其中包含的EAPOL報文，直接轉發給Su。這樣就實現了Su同SMP的間接交互，隱藏了SMP的位置。

直接交互：對于一些數據量較大的交互，無法使用EAPOL幀進行傳輸（幀長度限制）。因此Su從SMP上面下載HI配置文件（FTP服務，端口可指定），Su發送主機信息給SMP的主機信息收集服務（自定義TCP協議，端口5256，能夠通過配置文件修改端口），都是由SU和SMP直接進行交互。

4) SMP同交換機之間的交互

交換機發送SNMP Trap報文給SMP。交換機發送的SNMP Trap都是用于轉發Su上傳的消息，如果沒有Su，交換機不會發送任何同GSN方案相關的Trap給SMP的。

SMP發送SNMP Get和SNMP Set給交換機：a) 在用戶策略同步時，會先通過SNMP Get報文從交換機獲取交換機的策略情況；b) 安裝刪除策略時，SMP將策略相關信息發送SNMP Set報文中，發送給交換機；c) 對用戶進行重人證，強制下線，獲取HI狀態，手動獲取主機信息等命令，都是通過SNMP Set發送給交換機的，然后由交換機解釋后，生成eapol報文，再發送給su，由su進行實際的操作。

5) SMP與SEP交互

SEP在收到NIDS檢測到的攻擊事件后（這個攻擊事件是多種廠商的NIDS設備通過Syslog、UDP、SNMP等報文的形式發送到SEP的），SEP處理完這些不同廠商發現不同攻擊事件的信息后，以UDP的方式發送到SMP中，完成SEP和SMP的交互過程，這是一個單向的過程，也就是說SMP只從SEP中接收數據，而不向SEP發送數據。

6) SEP與NIDS交互

首先NIDS檢測到某個IP和MAC主機對網絡的攻擊事件，并把結果通過Syslog、UDP、SNMP等報文的形式發送到SEP（安全事件解析器），安全事件解析器SEP再把這個攻擊事件通過UDP報文轉發到SMP（安全管理平臺）。

3.3 協作式入侵檢測系統工作原理及數據流圖

協作式入侵檢測系統工作原理：

1) 身份認證――用戶通過安全客戶端進行身份認證，以確定其在該時間段、該地點是否被允許接入網絡；

2) 身份信息同步――用戶的身份認證信息將會從認證計費管理平臺同步到安全策略平臺。為整個系統提供基于用戶的安全策略實施和查詢；

3) 安全事件檢測――用戶訪問網絡的流量將會被鏡像給入侵防御系統，該系統將會對用戶的網絡行為進行檢測和記錄；

4) 安全事件通告――用戶一旦觸發安全事件，入侵防御系統將自動將其通告給安全策略平臺；

5) 自動告警――安全策略平臺收到用戶的安全事件后，將根據預定的策略對用戶進行告警提示；

6) 自動阻斷（隔離）――在告警提示的同時，系統將安全（阻斷、隔離）策略下發到安全交換機，安全交換機將根據下發的策略對用戶數據流進行阻斷或對用戶進行隔離；

7) 修復程序鏈接下發――被隔離至修復區的用戶，將能夠自動接收到系統發送的相關修復程序鏈接；

8) 自動獲取并執行修復程序――安全客戶端收到系統下發的修復程序連接后，將自動下載并強制運行，使用戶系統恢復正常。

協作式入侵檢測數據流圖見圖3。

4 結束語

由于各高校實力不一、校園網規模不一，出現了許多問題，其中最主要的是“有硬無軟”和“重硬輕軟” 。特別是人們的安全意識淡薄，雖然網絡安全硬件都配備齊全，但關于網絡的安全事故卻不斷發生，使校園網的安全面臨極大的威脅。因此，隨著校園網規模的不斷擴大，如何確保校園網正常、高效和安全地運行是所有高校都面臨的問題。該文結合高校現在實際的網絡環境，充分利用各種現有設備，構建出協作式入侵檢測系統，實現了“多兵種協同作戰” 的全局安全設計，同時將安全結構覆蓋網絡傳輸設備（網絡交換機、路由器等）和網絡終端設備（用戶PC、服務器等），成為一個全局化的網絡安全綜合體系。

參考文獻：

[1] CNCERT/CC[P].網絡安全工作報告,2007.

篇（9）

1.1安全事件管理模塊

1.1.1安全事件收集子模塊

能夠通過多種方式收集各類信息安全設備發送的安全事件信息，收集方式包含幾種：(1)基于SNMPTrap和Syslog方式收集事件；(2)通過0DBC數據庫接口獲取設備在各種數據庫中的安全相關信息；(3)通過OPSec接口接收事件。在收集安全事件后，還需要安全事件預處理模塊的處理后，才能送到安全事件分析子模塊進行分析。

1.1.2安全事件預處理模塊

通過幾個步驟進行安全事件的預處理：（1）標準化：將外部設備的日志統一格式；（2）過濾：在標準化步驟后，自定義具有特別屬性(包括事件名稱、內容、產生事件設備IP/MAC等)的不關心的安全事件進行丟棄或特別關注的安全事件進行特別標記；（3）歸并：針對大量相同屬性事件進行合并整理。

1.1.3安全事件分析子模塊

關聯分析：通過內置的安全規則庫，將原本孤立的實時事件進行縱向時間軸與歷史事件比對和橫向屬性軸與其他安全事件比對，識別威脅事件。事件分析子模塊是SOC系統中最復雜的部分，涉及各種分析技術，包括相關性分析、結構化分析、入侵路徑分析、行為分析。事件告警：通過上述過程產生的告警信息通過XML格式進行安全信息標準化、規范化，告警信息集中存儲于日志數據庫，能夠滿足容納長時間信息存儲的需求。

1.2安全策略庫及日志庫

安全策略庫主要功能是傳遞各類安全管理信息，同時將處理過的安全事件方法和方案收集起來，形成安全共享知識庫，為培養高素質網絡安全技術人員提供培訓資源。信息內容包括安全管理信息、風險評估信息、網絡安全預警信息、網絡安全策略以及安全案例庫等安全信息。安全日志庫主要功能是存儲事件管理模塊中收集的安全日志，可采用主流的關系性數據庫實現，例如Oracle、DB2、SQLServer等。

1.3安全業務模塊

安全業務模塊包括拓撲管理子模塊和安全風險評估子模塊。拓撲管理子模塊具備的功能：(1)通過網絡嗅探自動發現加入網絡中的設備及其連接，獲取最初的資產信息；(2)對網絡拓撲進行監控，監控節點運行狀態；(3)識別新加入和退出節點；(4)改變網絡拓撲結構，其過程與現有同類SOC產品類似，在此不再贅述。目前按照國標（GB/T20984-2007信息安全風險評估規范），將信息系統安全風險分為五個等級，從低到高分別為微風險、一般風險、中等風險、高風險和極高風險。系統將通過接收安全事件管理模塊的分析結果，完成資產的信息安全風險計算工作，進行定損分析，并自動觸發任務單和響應來降低資產風險，達到管理和控制風險的效果。

1.4控制中心模塊

該模塊負責管理全網的安全策略，進行配置管理，對全網資產進行統一配置和策略統一下發，改變當前需要對每個設備分別下方策略所帶來的管理負擔，并不斷進行優化調整。控制中心提供全網安全威脅和事故的集中處理服務，事件的響應可通過各系統的聯動、向第三方提供事件信息傳遞接口、輸出任務工單等方式實現。該模塊對于確認的安全事件可以通過自動響應機制，一方面給出多種告警方式（如控制臺顯示、郵件、短信等），另一方面通過安全聯動機制阻止攻擊（如路由器遠程控制、交換機遠程控制等）。各系統之間聯動通過集合防火墻、入侵監測、防病毒系統、掃描器的綜合信息，通過自動調整安全管理中心內各安全產品的安全策略，以減弱或者消除安全事件的影響。

1.5網間協作模塊

該模塊的主要功能是根據結合自身的工作任務，判定是否需要其它SOC的協同。若需要進行協同，則與其它SOC之間進行通信，傳輸相關數據，請求它們協助自己完成安全威脅確認等任務。

篇（10）

中圖分類號:TP393文獻標識碼:A文章編號:1009-3044(2010)19-5189-05

Response Cost Analysis Based on Fine-grained Event Categories

LI Cheng-dong

(Department of Electronic Science and Engineering, National University of Defense Technology, Changsha 410073, China)

Abstract: In automatic intrusion response system, cost analysis is a crucial basis for response to make decision. The paper, based on the research on cost analysis, describes security events categories fine-grandly, points out one quantitative cost analysis and examines it's validity by experiments.

Key word: intrusion response; event categories; cost analysis

成本分析,通俗的理解就是考慮價格。通常我們做事情都會有意識或無意識的考慮價格或者代價,就是去考慮所做事情是否值得的問題。如果收獲比付出大,就是值得的;相反的收益較低,那就不值得做。

在網絡安全上,我們同樣也需要考慮價格和代價。這一思想,從整體網絡安全的角度上看,就是目前提出的“適度安全”的概念。所謂“適度安全”,就是在信息安全風險和投入之間取得平衡。例如,如果一個企業在信息安全風險方面的預算是一年100萬元,那么,可以肯定的是它在信息安全上的投入不會是1000萬元。

在網絡入侵響應上,我們同樣面臨著這樣的問題。首先舉一個簡單的例子:一家移動運營商被黑客入侵一個關鍵業務,那么作為響應,他可能會在防火墻訪問控制策略中添加一條嚴格的規則,用來防止類似事件的再次發生。然而,這樣的一條規則增加,很有可能造成的后果是通信服務質量下滑。所以是否要采用這些措施,必須由經營者對潛在的安全威脅進行審議,考慮入侵帶來的損失和響應造成的服務質量下降造成的損失孰重孰輕。

一個理想的入侵響應系統應該是用最小的代價來最大限度減少入侵帶來的損失。入侵響應必須從實際情況出發來應對入侵事件,不惜一切代價的“響應”是不合理的。因此,入侵響應必須要考慮成本,也就是說,一個基本的思想是響應成本不能超過預期的入侵造成的損失。

目前,在入侵響應的技術研究方面主要側重于技術上的可行性或技術上的有效性,而忽視了在實際應用方面成本。這是因為技術人員和商業用戶在同一問題上的考慮重點不同,對技術人員來說,并沒有把費用放在第一位。

通過以上分析討論,可以看出,對響應的成本分析進行深入研究是非常有意義與有必要的。

1 細粒度安全事件分類描述

大量系統漏洞的存在是安全事件產生的根源,網絡攻擊事件更是對安全事件的研究的主體。因此與網絡安全事件相關的分類研究主要包括對漏洞的分類研究和對攻擊的分類研究。下面主要從這兩個方面對相關分類研究進行介紹。

1.1 系統安全漏洞分類研究

系統漏洞也可以稱為脆弱性,是指計算機系統在硬件,軟件,協議等在設計,實施以及具體的安全政策和制度上存在的缺陷和不足。由于漏洞的存在,未經授權的用戶有可能利用這些漏洞取得系統權限,執行非法操作,從而造成安全事故的發生

對漏洞分類的研究有一段時間,提出了許多分類方法,但大多數是停留在一維的分類上面。Landwehr在總結前人研究的基礎上,提出了一個多層面的脆弱性分類[1]。這種脆弱性分類,主要從漏洞來源、引入時間和存在位置三個角度進行詳細的分類,目的是建立一種更安全的軟件系統。Landwehr的漏洞分類三維模型如圖1所示。

這種分類方法的缺點是概念上存在交叉和模糊現象,在分類方法上還不夠完善。但是它的意義是提出了一種多維的分類模型,同時也說明了按照事物的多個屬性從多個維度進行分類的必要性。

1.2 攻擊分類研究

對攻擊的分類研究有助于更好地防御攻擊,保護系統。攻擊分類對恰當的制定攻擊策略代價估算是必不可少的。

根據不同的應用目的,攻擊的分類方法各有不同,與漏洞分類類似,多維的角度是共同的需求。在總結前人基礎上, Linqvist進一步闡述了Landwehr的多維分類思想。他認為,一個事物往往有多個屬性,分類的主要問題是選擇哪個屬性作為分類基礎的問題。Linqvist認為,攻擊的分類應該從系統管理員的角度來看,系統管理員所關注的是在一次攻擊中使用的攻擊技術和攻擊造成的結果。因此,Linqvist以技術為基礎,在攻擊技術和攻擊結果兩個角度上對網絡攻擊進行了分類[2],其目的在于建立一個有系統的研究框架。Linqvist的攻擊分類,如圖2所示。

通過對以上這些安全事件相關分類研究的介紹,我們可以得到以下兩點啟發:

1) 安全事件的分類應該以事件的多個屬性為依據,從多個維度進行分類。

2) 分類研究應該以應用為目的,應該滿足分類的可用性要求。

所以對網絡安全事件的分類研究應該是面向應急響應過程的。

1.3 細粒度事件分類

通過以上的簡要介紹,我們從應急響應過程的要求出發有重點的提取分類依據,構建了一個面向響應的多維分類模型。

1.3.1 安全事件要素分析

一個安全事件的形式化描述[3]如圖3所示。攻擊者利用某種工具或攻擊技術,通過系統的某個安全漏洞進入系統,對攻擊目標執行非法操作,從而導致某個結果產生,影響或破壞到系統的安全性。最后一步是整個事件達到的目的,比如是達到了政治目的還是達到了經濟目的。

以上描述指出了安全事件的多個要素,這些要素可以作為安全事件的分類依據。從而我們可以從不同維度出發,構造一個多維分類模型。

1.3.2 細粒度的分類方法

安全事件應急響應是針對一個網絡安全事件,為達到防止或減少對系統安全造成的影響所采取的補救措施和行動。根據事件應急響應六階段的方法論[4],響應過程包括:準備,檢測,抑制,根除,恢復,追蹤六個階段。其中的關鍵步驟是抑制反應,根除和恢復。

在上述討論的基礎上,我們提出了一種面向應急響應的網絡安全事件分類方法。這種方法以事件的多個要素作為分類依據,同時引入時間概念,其中每一個維度都有具體的粒度劃分。在這6個維度中,又根據響應過程的要求,以系統安全漏洞和事件結果兩個角度作為重點。

通過多維分類模型,我們可以從不同角度對網絡安全事件進行詳細分類,確定事件的多個性質或屬性,從而有利于生成準確的安全事件報告,并對響應成本進行決策分析。利用此模型,我們還可以對以往的安全事件進行多維度的數據分析和知識發現。

當然,模型也有需要改進的地方,比如在每個維度的詳細劃分上仍然存在某些概念上的交叉與模糊,在下一步的具體應用中應逐步加以改進和完善。

2 成本因素與成本量化

以本文提出的多維度的安全事件分類為基礎進行成本分析,首先需要確定與安全事故的因素有關的費用。依據經驗,我們考慮的與響應相關的費用主要來自兩個方面:入侵損失和響應代價。

入侵損失由既成損失和潛在損失構成。一個安全事件發生,它可能會造成一些對目標系統的損害,這是既成損失。潛在損失可以理解為如果安全事件是在系統中以繼續存在可能造成的相關聯的損失,記為PDC(Potential Damage Cost)。

響應代價是指針對某次入侵行為,采取相應的響應措施需要付出的代價,可以記為RC(Response Cost)。

入侵響應的目的是在檢測到安全事件后,為防止事件繼續擴大而采取的有效措施和行動,在此過程中我們應盡最大可能消除或減少潛在損失。因此成本分析的主要目標是對潛在損失進行分析。在入侵響應過程中考慮成本因素,其主要目的應是在潛在損失和響應成本之間尋找一個平衡點。也就是說,響應成本不能高于潛在損失,否則就沒有必要進行響應。

在確定成本因素之后,成本分析的關鍵是成本量化問題。與此相關的研究,我們參考網絡安全風險評估的方法。所謂風險評估,是指對一個企業的信息系統或網絡的資產價值、安全漏洞、安全威脅進行評估確定的過程。

確定方法可以定性,也可以量化。從安全風險評估工作的角度來看,完全的,精確化的量化是相當困難的,但定性分析和定量分析結合起來是一個很好的選擇。另外,與風險評估相似,我們的工作主要是給出一個成本量化的方法,具體的量化值應該由用戶參與確定。因為同樣的入侵行為,給一個小的傳統企業帶來的潛在損失可能是10萬,而給一個已經實現信息化的大企業帶來的潛在損失可能就是100萬。

1) 潛在損失(PDC)

入侵的潛在損失可能取決于多個方面。這里我們主要從入侵行為本身和入侵目標兩個方面進行考慮。入侵目標的關鍵性記為Criticality,關鍵目標的量化主要依據經驗,可以通過目標系統在網絡中所具備的功能或所起的作用體現出來。我們取目標關鍵性值域為(0, 5),5為最高值。一般的,我們可以把網關、路由器、防火墻、DNS服務器的關鍵性值定義為5; Web, Mail, FTP等服務器記為4;而普通UNIX 工作站可以定義為2;Windows工作站可以定義為l。當然,定義也可以根據具體的網絡環境進行調整。

入侵的致命性是指入侵行為本身所具有的危害性或者威脅性的高低,記為Lethality。這個量與入侵所針對的目標無關,只是對入侵行為本身的一個描述。比如,一個可以獲取根用戶權限的攻擊的危害程度就高于只可以獲取普通用戶權限的攻擊的危害程度;而主動攻擊的危害性也高于被動攻擊的危害性。這里我們給出一個表(表2),根據經驗量化了基本的幾類攻擊的危害性。

依據上述的描述,我們把入侵潛在損失定義為:

PDC=Criticality×Lethality

比如同樣是遭受到DOS攻擊,若攻擊目標是Web服務器,入侵潛在損失為

PDC=4×30=120;

若攻擊目標是普通UNIX工作站,則入侵損失為

PDC=2×30=60。

2) 響應代價(RC)

響應代價的量化主要基本的響應策略和響應機制等因素決定。響應策略不同,代價也會不一樣,比如主動響應的代價就比被動響應的代價要高;而同樣的響應策略,不同的響應機制也可能導致響應代價不同。

從另外一個角度講,響應成本主要包括兩部分內容:執行響應措施的資源耗費和響應措施執行以后帶來的負面影響,后者在響應決策過程中往往被忽視,響應帶來的負面影響是多方面的。比如,為了避免入侵帶來更大的損失,必要的時候需要緊急關閉受攻擊服務器,如果該服務器用于提供關鍵業務,那業務的中斷就會帶來相應的損失。再比如,有時候為了阻止攻擊,可能會通過防火墻阻塞來自攻擊方IP的通信流量,但是如果攻擊者是利用合法用戶作為跳板攻擊,那響應可能就會對該合法用戶造成損失。這樣的損失也是響應決策過程中應該考慮的。

因此,對響應代價的完全量化是比較困難的。為了說明響應成本分析的核心思想,同樣將響應代價的量化簡化,我們直接給出一個經驗值(見表2)。這樣,在確定了事件的潛在損失與響應代價之后,我們就可以做出響應決策:

如果RC≤PDC,即響應代價小于或者等于潛在損失,則進行響應。

如果RC>PDC,即響應代價超過了潛在的損失,則不進行響應。

從前面的分析我們可以得出,在某些情況下,比如掃描、嗅探等此類的攻擊,響應成本已經超過了潛在的損失,那就沒有必要采取響應措施了。

3 成本分析響應算法

理想化的成本分析,只需要引入潛在損失與響應代價兩個量。但是實際情況并非如此簡單。我們在構建響應成本分析模型,特別是評估入侵帶來的潛在損失的時候,必須從響應系統的輸入,也就是入侵檢測系統的輸出開始考慮。

在安全事件發生后,還沒有完成入侵行動的情況下進行先期響應部署時本文提出的成本分析方法的重點。引起響應的有效性因素是降低反應選擇在調整這種反應行動將來使用。這種反應的選擇和部署的情況下自動完成它允許任何用戶干預的快速遏制入侵防御,從而使系統更加有效。本文提出的方案優點在于以下幾個方面:

1) 本算法確定先發制人的部署響應。

2) 在成本敏感反應的方法的響應選擇是基于經濟因素,并采用由攻擊成本和發生的損失作為響應的依據。

3.1 成本分析的響應算法流程

本文的研究基于這樣一個假設,入侵行為在某種程度上具備相似性,入侵響應系統可以記錄所有曾經在系統中出現的入侵行為,無論響應的結果是成功或者控制失敗,發生更大的災難。成本分析的自動響應模式分為以下三個步驟:

第一步是確定何時進行先期的入侵抑制響應行動。本文以上述六個維度的指標作為衡量,計算相應的數值,然后和系統所能夠容忍的行為進行匹配比較,確定是否進行先期入侵抑制。也就是說攻擊序列已達到系統不可接受的程度,系統在較大概率上遇到一個實際的攻擊,此時進行先期抑制行為。

第二個步驟主要是確定候選的入侵響應集合,在這一步驟進行加強可以減少由于第一步抑制行為的不正確引起的錯誤。響應集合元素的選擇基于上述的兩個因素潛在損失和響應成本的估算。響應成本,代表了一個響應的影響對系統進行操作,潛在的損害成本一般量化因素資源或計算能力。設置成本因素精確測量在現階段工程上來講存在諸多的不足。雖然目前很難確定究竟是什么時間進行量化最為有效,至少在入侵方向上使用基于特征的入侵檢測響應系統可以在量化上做出較好的工作。

在最后一步,響應系統從候選集合中選擇最好的響應方案,進行響應。

下面,對具體的實行步驟進行詳細的討論:

第1步:先期響應抑制。在檢測到某個序列與攻擊序列的相似度達到管理員設定的閾值的時候,系統啟動先期抑制響應。需要注意的是,早期階段,對于潛在的威脅做估算,即將上任的序列可以與多次入侵模式的前綴序列相匹配。該響應也可以在一段時間后才確認入侵。

為了指導響應部署過程,本文定義一個概率閾值,表示可以接受的信任水平,某些攻擊一旦進行,那么其相應的響應行動就應該被觸發。因此,本文設計的先期抑制響應的條件為:一旦一個特定序列發生時,其前綴為攻擊序列的概率超過預先指定的概率閾值,那么可以推斷的是攻擊正在進行。這個閾值稱為信心水平,其公式如下:

步驟2:響應集合的確定。一旦我們決定做出反應,即威脅概率已經超出容忍限度之際,我們需要確定可部署的響應策略。正如之前提到,先期抑制響應可能導致錯誤發生,因為不正確的響應或由于響應過度而使得系統效率降低。因此,我們的目標在這里使用下列參數,損害成本(DC damage cost)和響應成本(RC response cost)。響應的選擇滿足公式如下:

DC*σ>RC

第3步:最優選擇的條件。要確定最佳的響應,在步驟2中選擇最佳的行動,本文考慮到兩個因素:成功因子(SF success factor)及風險因子(RF risk factor)。前者是在已有的響應事件中成功響應,制止入侵行為的次數百分比,后者是響應的嚴格程度。所謂的嚴格程度,本文是指對資源的影響與對合法用戶的影響。嚴格的響應可能停止入侵,但也是帶來了不利的影響,影響系統性能和用戶使用情況。從本質上講,風險因子代表了響應成本是與響應行動有關的。本文使用期望值來對最優響應進行評估,從而確定響應策略。其計算公式如下:

E(R)=Psuccess(S)*SF+Pris(S)*(-RF)

以上是闡述了成本分析的核心思想和算法,在此基礎上,對現有模型進行了改進。通過分析可以看到,成本分析的關鍵問題還在于成本因素的合理量化,并且成本量化的問題還與企業的具體應用相關。

3.2 算法實現實例分析

典型的響應過程如下所示:

1) 假設系統的存在的序列拓撲如圖4所示,響應門限設為0.5。

序列的初始設定情況,如表3所示。

2) 檢測到序列{6},檢測PDC是否大于0.5,因為不存在,該點,因此不做任何處理,繼續進行檢測;

3) 檢測到序列{6,8},那么其相應的信任水平值為表4,都是低于0.5的,因此,還是不進行操作。

4) 檢測到{6,8,5},{6,8,10},{6,8,9}。計算信任水平如表5。

都正好是0.5,因此都進行計算期望值,如表6所示。

5) 因此選擇{6,8,9,1}的響應作為最佳的響應策略

4 成本分析有效性驗證

本文通過一個模擬實驗來對入侵響應的成本分析的有效性進行驗證。

4.1 實驗系統設計

本實驗選用兩種攻擊模式進行攻擊入侵,主要的數據如表7所示。

系統的數據來源是來自林肯實驗室2005年離線評估數據。由表7所示,每一個跟攻擊狀態相關以損害成本的整體損失成本跟蹤作為對各狀態損害成本跟蹤的總和。雖然本文的算法可以關聯多個響應行動的一系列異常,但是,為了評估本文測試了當個序列的響應情況。

4.2 實驗結果分析

首先測試了在不同的響應閾值情況下的平均潛在損失情況,其結果如圖5所示。

從實驗結果可以看出,比較穩定的門限值在0.4到0.7之間,在這之間內,平均損失比較固定。在門限為1的情況下,損失最低。

加入成本分析后,系統誤判隨著門限的不同而出現的情況如圖6所示,圖6是針對dos攻擊的情況,從中可以看出誤判的比率隨著門限的降低而降低,在0.65左右,進入誤差為零的狀態。

參考文獻:

[1] Landwehr C E,Bull A R,McDermott J P,et al.A Taxonomy of Computer Program Security Flaws[J].ACM Computing Surveys,1994,26(3):211-254.

篇（11）

中圖分類號：TP311文獻標識碼：A文章編號：1009-3044(2008)35-2214-04

Research and Realization of Security Events Correlation Framework

ZHANG Zhong-liang

(School of Software Engineering, Tongji University, Shanghai 200331,China)

Abstract: Based on the correlation technique on the basis of prerequisites and consequences of attacks，we research and realize a Distributed framework of real-time collection and correlation analyzing multiple-source alerts. The elementary experiment indicates that the framework can reduce and analyze alerts effectively，and help the administrator find out the valuable information.

Key words: Multiple-source; real-time; correlation analyzing

1 引言

隨著網絡安全事件的逐年增加，越來越多的諸如IDS，防火墻，VPN等網絡安全產品和技術得以應用，在一定程度上緩解了網絡安全壓力，但同時也引出了許多新問題[1]：

1）各種安全技術和產品之間的異構問題：信息安全建設引入了眾多異構的安全技術和設備，但如何對其進行集中統一的管理？

2）海量信息難以統一管理：多種安全設備產生了海量信息，通過傳統的手工或半手工方法難于對其進行分析和管理。如果不能夠及時識別出其中的不可靠信息并采取相應措施，可能會給網絡帶來災難性的后果；

3）IDS的誤報/漏報現象：靈敏度和可靠性始終是IDS難以解決的問題，現有IDS產品中，基于異常檢測的產品漏報率低，但誤報率高；而基于誤用檢測的產品誤報率低，漏報率高。同時，IDS的報警粒度太細，一旦出現攻擊可能就報警，報警數量太多，且無法顯示攻擊意圖。

如何對各種異構安全設備進行有效管理，從海量信息中及時提取出重要信息，準確高效地檢測出系統中所發生的攻擊行為，成為網絡安全管理的重要議題。

2 研究基礎及設想

事件關聯大概可以分為三類：基于規則的關聯[2-4]、基于統計的關聯[5-6]和基于攻擊前提和后果的關聯[7-8]。

在基于規則的事件關聯系統中，已知的安全威脅模式被保存在數據庫中，當事件源產生的事件成功匹配了其中一個模式，就認為發生了安全威脅，并采取相應的措施。這種算法的誤報率低，但漏報率比較高，而且需要對所有規則精確匹配并且需要及時更新規則庫。

基于統計的事件關聯建立在系統正常行為的基礎之上，當某行為與正常行為的偏移超過預先定義的閥值時，認為發生了攻擊并報警。這種算法漏報率低，但誤報率比較高，其依賴于對系統正常行為的訓練是否足夠全面。

基于攻擊前提和后果的關聯是當某一事件的結果部分滿足了另一事件的發生前提時，對這兩個事件進行關聯。與前兩類方法相比，這類方法有效的解決了漏報問題而且可以潛在地揭示出事件之間的因果關系并且不受限于已知的攻擊場景。

此次研究是在基于攻擊前提和后果的關聯思想和其攻擊場景重構能力的基礎上對其進行了擴充和改進，設法實現一個綜合性的分布式實時安全管理平臺，其中的事件關聯模塊是此次研究的重點。研究內容為：安全管理平臺的總體設計、事件關聯模塊中的關鍵技術、實驗分析、總結以及未來的工作。

3 安全管理平臺的總體設計

安全管理平臺提供對各種安全設備集中統一的配置和管理，并試圖通過事件關聯和風險評估對網絡中的各種事件和日志進行分析，并及時把分析結果（包括報警關聯圖）通過網絡報告給客戶端管理員。事件關聯和風險評估機制是系統智能的主要體現，也是整個系統最為關鍵的部分，其中事件關聯模塊接收各種安全事件，進行關聯，給出關聯結果并做出響應，其在整個系統中處于底層事件收集器與上層終端控制界面之間，安全管理平臺的框架結構如圖1所示，它主要包括客戶控制端、服務器端、事件收集器和數據庫，其中服務器包括事件關聯和風險評估等重要模塊。

4 事件關聯模塊的設計

所謂事件關聯不單單指關聯這一具體操作，它包括一系列的處理過程，如報警規格化、報警過濾和報警融合等。本文中事件關聯模塊的具體流程見圖2。

下面將詳細介紹關聯模型中的關鍵技術。

4.1 報警規格化

鑒于不同類型的Sensor具有不同格式的報警事件描述，因此作為事件關聯的第一步，需要采用標準的數據格式對報警事件進行描述。IDMEF[9]是IDWG發起的一份建議草案，它通過定義各種安全設備之間進行互操作的數據格式，實現信息共享。

如圖3所示，參考IDMEF，本文建立了報警對象（Alert object）數據結構，包括Sensor，Signature，Target，Source，Response等子類，分別描述了Sensor的地址和屬性，攻擊事件詳細說明，被攻擊者的地址和主機屬性，攻擊者的地址和主機屬性，安全響應策略等信息，多源異構的Sensor采用報警對象存儲報警事件，并向上層結構發送進行統一處理。

4.2 報警過濾

由于網絡的復雜性和攻擊的不確定性，多源異構的Sensor所產生的報警可能存在某種錯誤，直接對包含錯誤信息的事件進行關聯處理，將影響關聯的準確度和執行效率。因此需要對原始報警事件進行過濾，消除噪音數據。下面總結了報警事件可能出現的幾種錯誤：

時間錯誤：在分布式系統中，硬件環境的差異或人為因素的干擾，各子系統時鐘的不一致是正常現象，但這可能導致錯誤的關聯分析。因此在事件過濾過程中，將針對事件的時間值進行檢測；

地址錯誤：許多黑客在進行DOS攻擊時，為了掩蓋自身信息往往偽造地址，填寫錯誤的源地址或根本不存在的IP地址。大量的偽造地址將嚴重影響事件關聯分析，因此需要對事件的IP地址進行檢查；

攻擊錯誤：網絡攻擊總是針對特定的操作系統或漏洞進行的，若在事件報告中，攻擊事件與目標系統的實際情況不符，則可認為是Sensor的檢測信息出現了錯誤。如：當事件報告了Ftp攻擊事件而目標主機根本未開放Ftp時，可以認為這是一個錯誤的事件報告。

4.3 報警合并

在原始報警信息中，存在這樣的情況：兩條或多條報警包含相似的信息，具有固定的內在聯系，描述同一個攻擊事件，由多個異構Sensor產生，本文稱其為重復事件。合并重復事件有利于提高關聯效率，同時也幫助管理員從整體上把握網絡的安全狀況。

合并重復事件需要對事件的4個屬性進行考察，以確定待檢測的事件是否為重復事件，第5個屬性給出了重復事件的敏感度：

Attack Name：攻擊事件的名稱；

Source IP Address：攻擊者的IP地址；

Target IP Address：被攻擊者的IP地址；

Detect Time：Sensor檢測到攻擊的時間；

Sensitivity：經過合并處理后的事件敏感度，指出了該事件對系統安全的威脅程度，取值范圍是[0，1]。若取值為0時，說明重復事件對系統沒有影響，可以丟棄該事件。

當系統收到新的報警事件B的時候，查找、合并重復事件的算法如下：

①根據B的Attack Name進行分類，查找相應攻擊類型事件列表；

②遍歷該攻擊的事件列表，按B的Source IP Address搜索，假設找到事件A，如果A具有和B相同的源地址，則繼續按B的Target IP Address匹配。若匹配成功，轉④；若匹配不成功，則轉②重新按B的Source IP Address進行匹配。若事件列表已為空，則轉③；

③將B加入屬于Attack Name攻擊類型的事件列表，將Detect Time記入Start_detect_time字段并啟動計時器，退出函數，等待下一個事件的到來；

④判斷B與A是否為重復事件，若是，則A事件Count屬性計數加1，調用SensitivityCount()函數計算Sensitivity值，并更新A中Sensitivity屬性的值，使用B的Detect Time更新End_detect_time字段，計時器重新計時；

⑤計時器時間到，將重復事件A輸出，同時輸出Count，Start_detect_time，End_detect_time，Sensitivity等屬性，清除事件列表中的過期事件A。

5 實驗分析

為了評價上述事件關聯技術，本文利用網絡安全管理平臺做了實驗分析。實驗中我們使用DARPA入侵檢測評價數據庫作為背景數據，然后發動一系列攻擊行為產生被檢測報警數據，下面將詳細介紹實驗環境、實驗步驟和實驗結果分析。

5.1 實驗環境

實驗環境搭建在內部局域網上，如圖4所示，利用集線器連接了六臺主機，使用snort作為入侵檢測工具，使用Nessus作為網絡漏洞掃描工具。其中，網絡安全管理平臺的服務器運行在192.168.80.45上，事件收集器、監控終端以及snort運行在192.168.80.39上，Nessus的客戶端和網絡安全管理平臺的數據庫建在192.168.80.43上，主機192.168.80.23上運行Nessus服務器端，而主機192.168.80.40則用于發起攻擊，攻擊的目標主機為192.168.80.190。

5.2 實驗步驟

1) 在192.168.80.43上利用Nessus掃描整個局域網，并把掃描結果存放到數據庫中。

2) 在192.168.80.45上啟動網絡安全管理平臺的服務器。

3) 在192.168.80.39上啟動snort，使其處于網絡入侵檢測模式，并啟動網絡安全管理平臺的事件收集器和監控終端。

4) 實施攻擊。

具體的攻擊步驟如下：

①利用Nmap對192.168.80.190進行端口掃描，獲得其操作系統類型、開放端口及服務類型；

②利用ms04011.exe對其發動緩沖區溢出攻擊，并獲得其訪問控制權限；

③利用192.168.80.190對192.168.80.23發動Ping of Death攻擊。

針對以上攻擊步驟，snort產生了15條報警：2條SNMP request udp報警，2條SNMP public access udp報警，3條SNMP AgentX/tcp request報警，3條NETBIOS SMB-DS IPC$ unicode share access報警，3條NETBIOS SMB-DS DCERPC LSASS exploit attempt報警和2條ICMP Large ICMP Packet報警。

5.3 實驗結果分析

先前Peng ning等人利用基于攻擊前提和后果的關聯技術開發了一個入侵報警分析工具―TIAA[10,11]，但此工具是離線的，而且數據源僅為單個IDS。由于本文所提到的安全管理平臺目前還處于研究開發階段，所以我們只對其進行了簡單的測試。從測試結果來看，此事件關聯模型能夠有效的分析報警事件，大大減少了報警數量。與TIAA相比，此事件關聯模型具有以下優勢：

1) 因為它是實時安全管理平臺中的核心模塊，所以它可以接近實時的處理安全事件以便即時做出響應；

2) 它所關聯的安全事件來自多種異構安全設備，這樣就提高了關聯操作的準確度；

3) 它在真正執行關聯操作之前對原始安全事件做了一系列的處理，包括事件規格化、事件過濾和事件合并，這樣就大大提高了安全事件的質量，減少了安全事件的數量，從而可以提高事件關聯的效率。

6 總結以及未來工作

本文對傳統的基于攻擊條件和結果的關聯技術進行了改進和擴充，并進行了簡單的測試，但由于條件有限，此模型還有待進一步的驗證。雖然此模型在真正關聯報警之前對報警做了預處理，減少了報警數量，在一定程度上提高了關聯效率，但我們的目的是實現一個實時安全管理平臺，所以當報警相當多的時候，執行效率仍是一個需要考慮的問題，所以我們下一步的工作重點是要進一步的完善事件關聯模型，使其真正達到實時關聯。

參考文獻：

[1] Cuppens F.Managing Alerts in a Multi-Intrusion Detection Environment[C].17thAnnualComputer Security ApplicationsConference New-Orleans,New-Orleans, USA, December 2001.

[2] Carey N,Mohay G M,Clark A.Attack Signature Matching and Discovery in Systems Employing Heterogeneous IDS [R].ACSAC,2003:245-254.

[3] Cuppens F,Autrel F, Mi`ege A,et al.Correlation in an intrusion detection process[R].Internet Security CommunicationWorkshop (SECI),September 2002.

[4] Cuppens F,Ortalo R.LAMBDA：A Language to Model a Database for Detection of Attacks[R].Third International Workshop on theRecent Advances in Intrusion Detection (RAID'2000), October 2000.

[5] Valdes A,Skinner K.Probabilistic alert correlation[C].Proceedings of the 4th International Symposium on Recent Advancesin Intrusion Detection (RAID 2001),2002:54-68.

[6] Dain O,Cunningham R.Building scenarios from a heterogeneous alert stream[C].Proceedings of the 2001 IEEE Workshop onInformation Assurance and Security,2001:231-235.

[7] Ning P,Cui Y,Reeves D S.Analyzing intensive intrusion alerts via correlation[C].Zurich,Switzerland:Proceedings of the 5thInternational Symposium on Recent Advances in Intrusion Detection (RAID 2002),2002.

[8] Ning P,Cui Y,Reeves D S.Constructing attack scenarios through correlation of intrusion alerts[C].Washington,DC:Proceedings of the 9th ACM Conference on Computer and Communications Security,2003:245-254.