統一網絡安全管理平臺的研究與實現

摘要：針對防火墻、入侵檢測系統等異構安全設備的廣泛應用而產生的海量的不可靠的安全事件難以有效管理的現狀，提出了統一網絡安全管理平臺，平臺利用風險評估和事件關聯技術來實時地分析網絡的風險狀況，降低誤報率和漏報率。首先給出了平臺的體系結構，并介紹了各模塊的基本功能，然后就安全事件預處理、實時風險評估、事件關聯三個關鍵技術的具體實現進行了詳細的描述。

關鍵詞：網絡安全；安全管理；風險評估；事件關聯

中圖法分類號：TP39308文獻標識碼：A

文章編號：1001－3695(2006)09－0092－03

隨著網絡安全問題的日益突出，防火墻、入侵檢測系統、VPN、漏洞掃描工具等眾多安全設備被部署到網絡中。這些安全設備的使用在不同的側面提升了網絡的安全性，但同時也出現了一些新的問題：①難以統一管理，配置眾多異構的安全設備；②這些安全設備產生了海量的安全事件且夾雜了大量不可靠信息，使得管理人員很難從中提取有意義的事件，因而無法獲得當前網絡的整體安全態勢。因此，如何統一、有效地管理安全設備及其產生的安全事件，最大限度地發揮各安全設備的作用，從整體上提升網絡的安全性，是目前亟需解決的問題。

針對上述情況，我們提出了統一網絡安全管理平臺。該平臺從網絡的整體安全出發，通過對網絡中安全設備的集中監控，收集各安全設備產生的安全事件并對其格式進行歸一化處理，運用風險評估和事件關聯技術，實時地分析網絡的風險狀況，并動態地作出響應。

1統一網絡安全管理平臺的體系結構

統一網絡安全管理平臺由監控終端、服務器、事件收集器、數據庫四個部分組成，每部分又可進一步劃分為若干不同的模塊。這四個部分可以在不同的計算機上獨立運行，共同配合完成工作。平臺的體系結構如圖1所示。

控制終端是整個安全管理平臺的管理端，網絡管理人員可以通過它進行系統配置、用戶管理、風險監視、警報監視、事件查詢、報表生成等工作。

服務器是整個安全管理平臺的主體部分，它包括事件處理、風險評估、事件關聯、適配器控制以及數據庫接口等模塊。其中，事件處理模塊負責接收從多個事件收集器發送過來的標準事件，用冗余消除技術去除由于多源報警所產生的冗余事件，將處理過的事件發送到風險評估、事件關聯模塊，并同時存入事件數據庫中；風險評估模塊根據主機和網絡的資產價值、安全事件的優先級和可靠性，實時地評估所監控網絡中各主機和子網的風險狀況，當主機或網絡的風險值超過規定的閾值時發出報警信息；事件關聯模塊從安全事件中抽取有用的信息，重構整個攻擊場景，降低誤報率，幫助管理人員分析出系統所存在的漏洞；適配器控制模塊向事件收集器的適配器管理器模塊發送控制命令；數據庫接口模塊為服務器中其他模塊提供數據庫屏蔽，完成相應的數據庫操作。

事件收集器負責收集安全事件并對其進行標準化處理，同時接收服務器的控制和獲取事件命令。在一個統一網絡安全管理平臺中可以同時運行多個事件收集器。它包括一個適配器管理模塊和多個適配器模塊。適配器管理模塊管理多個適配器，接收服務器適配器控制模塊的控制命令，配置相應的適配器，并從適配器接收安全事件；適配器是安全管理平臺與特定安全設備的接口，它獲取相應安全設備發出安全事件，在經過標準化處理后，將安全事件發送給適配器管理模塊。

數據庫服務器包括事件數據庫、知識數據庫和策略數據庫。其中，事件數據庫中存放收集的安全事件；知識數據中庫中存放事件關聯的規則；策略數據庫中存放系統策略。

2關鍵技術的研究與實現

2．1安全事件預處理

安全事件預處理包括安全事件標準化以及冗余事件消除。由于平臺用于管理各種不同類型的安全設備，各安全設備產生的安全事件的格式不盡相同，而不同安全設備可能會對同一入侵事件同時產生多個報警，從而導致了冗余事件的產生，因此需要用統一的格式對安全事件進行標準化處理并消除其中的冗余事件。

我們定義一個標準安全事件由七個字段組成，即產生時間、安全設備號、安全事件號、源IP、源端口、目的IP和目的端口。其中安全設備號是一個整型數組。對于不同的安全設備，允許其中的某些字段為空。如果兩個安全事件除了產生時間和安全設備號兩個字段不同外其余字段完全相同，而產生時間的差異不超過某固定的閾值（如1s），則我們認為產生了冗余事件。對于冗余的安全事件，我們將其合并為一個事件，將事件的產生時間設為諸冗余事件中最小的產生時間，而將各冗余事件對應的安全設備號均添加到合并后安全事件的安全設備號數組中。

2．2實時風險評估

風險評估是對信息及信息處理設備的威脅、影響和弱點以及三者發生的可能性的評估。在統一網絡安全管理平臺中我們用實時風險評估技術從整體上評估平臺所監控的網絡和主機的安全態勢。下面詳細介紹了評估的過程和方法。

2．2．1分析資產并評估其價值

資產是對組織有價值、需要加以保護的東西，包括物理資產、信息資產、人員、服務、組織的聲譽等。本平臺所涉及的資產主要包括網絡、主機以及主機所含的信息。信息資產具有保密性、完整性、可用性等安全屬性，通過分析網絡中每臺主機所含信息的安全屬性，考慮該資產一旦遭受攻擊后組織所受的損失以及恢復該資產所需的花費，可以得出每臺主機的相對價值（Ai）。

在評估資產價值的同時，分析資產其他一些相關屬性，如主機的IP地址、主機的使用者等，對于安全設備，則還需要分析該設備的類型及其產生的安全事件的可信度（Ci）。

2．2．2弱點分析

弱點是指組織內部薄弱之處，弱點本身不會造成損失，但它能被威脅利用從而使組織的資產受到損害。通常可以分為組織弱點和技術弱點。組織弱點是指組織的政策或實踐中可能導致未授權行為的弱點。我們所關心的弱點是技術弱點，指系統、設備和直接導致未授權行為的組件中存在的弱點，是由于系統在設計、實現或者配置階段的錯誤而產生的，可以通過網絡脆弱性掃描、主機和應用程序的安全審計等方式獲得。

2．2．3威脅分析

威脅是指對資產引起不期望事件而使資產的保密性、完整性、可用性等安全屬性受損害的行為。在平臺中我們把安全設備產生的安全事件看作威脅事件。威脅分析首先列出各資產可能面臨的所有威脅，分析每個威脅能夠對資產造成損害所需的條件，結合弱點分析的結果，通過構造威脅樹等方式判斷這些條件是否具備，對于具備損害資產能力的威脅進一步分析，提出相應的對策，并以資產/威脅對的形式記錄下能夠對資產造成損害的威脅以及針對此威脅可用的對策。

威脅的大小（T）可以從威脅主體的動機、能力以及該威脅一旦成功后對資產造成的影響等幾個方面分別加以考察。威脅主體是指能對組織產生威脅的人或團體，可以通過其相應的IP地址來標志。

威脅主體的動機反映了威脅主體發起威脅事件主觀意愿的強弱。在考察威脅主體的動機時，我們將其為組織外部人員、組織一般成員、組織管理人員，這三類威脅主體的動機指數（TM）依次減小。在具體應用中還可以把分類進一步細化。

威脅主體的能力與其掌握的技術、對組織的了解程度以及其擁有的系統權限等因素相關。我們認為組織外部人員掌握了較強的技術，但對組織的了解程度及其擁有的系統權限均比較低；組織內部人員對組織比較了解，而其掌握的技術和擁有的系統權限則根據具體情況逐個確定。最后，根據威脅主體三方面因素的大小，并綜合考慮各因素對威脅主體能力大小的影響，為每個威脅主體的能力值（TC）賦予相應的值。

威脅能夠對資產造成的影響一般難以直接評估，可以根據前面確定的資產/威脅對，利用層次分析法把能夠對資產造成損害的威脅從其對資產的保密性、完整性、可用性等方面的損害來評判，從而計算出資產各威脅的相對權重。安全事件號為i的安全事件所對應的權重記為Wi，如果該資產不存在安全事件i所需的弱點，則Wi為0。

2．2．4風險值的計算

安全事件的風險值（r）由其目的主機的資產價值（Ai）和弱點、該事件的威脅大小（T）、事件發生的可信度（C）決定，并隨著時間的推移而逐漸減弱。其中，事件的可信度由產生該事件的安全設備的可信度（Ci）決定，我們把各安全設備產生安全事件的過程視為獨立事件，因此對于一個安全設備號字段有多個值的安全事件，其可信度可由以下公式得到：

當某個安全設備產生一個安全事件時，首先根據該事件的安全事件號和目的IP兩個字段查看該事件相對于目的主機的權重Wi。如果Wi為0，則該事件產生的風險值也為0；否則，讀出目的主機的資產價值Ai、該事件的安全設備號，并根據安全事件的源IP得到威脅主體的動機指數TM以及能力值TC。該事件風險值可以通過以下公式計算：

主機的風險值是在最近一段時間內，目的IP為該主機IP的所有安全事件的風險值的疊加。我們認為，每個安全事件的風險值在該事件產生后經過一個固定長度的時間（s）逐漸衰減為0，系統每隔一個很短的時間（dt）計算一次主機和網絡的風險值，在某時刻t，主機的風險值HR(t)為HR(t)＝∑ni=1[1-(t-ti)/s]×ri。其中，(t-ti)

網絡的風險值是該網絡中所有主機和子網的風險值的總和，在某時刻t，網絡的風險值NR(t)可用以下公式計算：NR(t)=∑iHRi(t)+∑jNR′j(t)。其中，HRi(t)為該網絡中主機的風險值，而NRj′(t)為該網絡中子網的風險值。如果NR(t)大于該網絡的風險閾值VN，則發出報警，并根據預定的策略對其進行處理，在處理后重新計算該網絡的風險值。

2．3事件關聯

事件關聯用來判斷一系列安全事件是否源于同一個攻擊行為并完成攻擊場景的重構，這種攻擊行為具有單一的攻擊意圖，可以包括單個的簡單的攻擊行為或由一系列攻擊步驟組成的復雜的攻擊行為。事件關聯可以分為基于規則的關聯與基于統計的關聯。在平臺中，我們采取了基于規則的關聯模型。

2．3．1關聯規則的定義

關聯規則是統一網絡安全管理平臺的事件關聯模塊的核心。事件關聯引擎之所以能將來自于不同地點、不同層次、不同類型的安全事件關聯起來，均是通過預定義的關聯規則實現的。目前，平臺的關聯規則是根據已知攻擊的攻擊順序，通過手工生成，并以樹型結構存儲在一個XML文件中。該文件相當于一個很大的攻擊場景庫，如果接收到的一系列安全事件能夠匹配其中某個攻擊場景就能確認系統受到了某類攻擊。文件中某個攻擊場景如下：







srcIp=\"1：SRC_IP\"dstIp=\"ANY\"srcPort=\"ANY\"dstPort=\"ANY\"

deviceID=\"1508\"eventID=\"1，29\"/>







其中，ID是該攻擊場景的編號；Name是其名稱；Priority是優先級；Reliability表示若該事件匹配則系統中發生該攻擊的可能性（1代表10％）；Occurrence表示必須匹配該事件的次數；SrcIp，DstIp分別表示源、目的的IP；SrcPort，DstPort則為源、目的端口；DeviceID指安全設備號；EventID為安全事件號；TimeOut則表示匹配規則的超時時間。

上面代碼的含義為：如果能夠成功匹配該場景描述的兩條Rule所定義的事件，則表明系統中發生了攻擊場景號為6，名為“PeerAnomalyonSRC_IP”的攻擊，該攻擊的優先級為4。

2．3．2關聯規則匹配過程

圖2用匹配樹的形式描述了關聯規則匹配過程，其中每一個節點代表了一個匹配條件；每一個匹配條件下又包含著若干后繼的子匹配規則。例如匹配規則1.1，在滿足了匹配條件之后，仍需要進一步驗證兩個2級的匹配規則(2.1和2.2)，關聯匹配的過程才可進一步往下推導。我們用一個Backlog來表示一個關聯匹配過程的中間狀態，Backlog中存儲了一個指向規則樹中某規則節點的指針，例如Backlog2指向規則節點2.1，這意味著Backlog2所代表的關聯匹配過程正在驗證規則2.1。

在整個關聯匹配過程中，所有關聯匹配過程的中間狀態均存放進一個Backlog隊列中，該隊列我們稱之為優先擴散隊列。優先擴散隊列中存儲了多個當前正在試圖進行規則匹配的Backlog。當接收到某一個安全事件時，將依次檢閱優先擴散隊列當中的每一個Backlog，判斷其所指向的規則是否得到滿足，如果是，則根據其指向的規則的下一級子規則逐個創建新的Backlog，并將其插入優先擴散隊列中。

為了提高擴散效率以及關聯的準確性，優先擴散隊列并不是一個嚴格的先進先出的標準隊列，其插入一個新Backlog的過程是一個隨機插入的過程。每一個Backlog，根據策略配置的不同，可以擁有不同的優先級。這里所指的策略配置方面的差異主要是指Backlog關聯的安全對象、滿足的匹配規則等外界安全要素所具備的安全風險不同。Backlog優先級越大，意味著其對應的關聯匹配過程發生攻擊的可能性越大，所涉及的安全風險越高，應該得到優先的處理，因此在優先擴散隊列當中，優先級別越高的Backlog在隊列中位置排得越靠前。Backlog的優先級（BP）可以通過如下公式計算：BP＝(RP×R＋L)/TO。其中，BR表示規則的優先級，R表示累加可靠性，L表示推導節點在匹配樹中所處的層次，TO表示條件的驗證超時值。

2．3．3事件關聯的流程

事件關聯模塊收到一個標準安全事件之后，首先根據該事件的安全事件號對Backlog隊列進行遍歷，判斷當前到來的安全事件是否使得Backlog中所等待驗證的規則得到滿足，如果規則與當前事件是匹配的，流程將判斷該Backlog所指向的規則是否還存在次級規則，如果不存在則表明一個關聯過程已經完成，將產生一個新的關聯警報；否則將遍歷當前Backlog所指向Rule的所有次級Rule，為每一個次級Rule生成對應的Backlog并分類插入到各Backlog隊列當中。

在完成了全部Backlog隊列的遍歷推導之后，還需要針對當前安全事件對Rule規則樹的全部第一級規則節點進行一次遍歷匹配，試圖以新事件為首次發生事件而啟動所有可能的全新關聯過程并創建新的Backlog。首先以事件的安全事件號為關鍵字檢索第一層規則索引表，從中獲得其對應的第一層規則節點并檢查是否與當前事件相匹配，如果匹配則重復上文所述的遍歷次級Rule并生成新Backlog的過程；如果無法匹配，則事件處理完畢。

3總結和展望

安全管理是近年來安全領域研究的熱點問題，而有效管理各種異構安全設備及其產生的海量安全事件是安全管理的難點之一，目前對其研究還處于起步階段。本文提出的統一網絡安全管理平臺在這方面做了初步的嘗試，并在實際應用中取得了較好的效果。

進一步的工作包括：①改進風險評估算法，使之能更好反映系統風險的變化；②選擇合理的風險閾值；③優化事件關聯算法，提高關聯速度和準確性；④擴充事件關聯規則庫，并研究關聯規則的自動生成。

參考文獻：

［1］MichaelEWhitman，HerbertJMattord.PrinciplesofInformationSecurity[M].北京：清華大學出版社，2003.［2］InternationalOrganizationforStandardization.CodeofPracticeforInformationSecurityManagement[S].ISO/IEC17799，2000.

［3］JonathanTregear.RiskAssessment[J].InformationSecurityTechnicalReport，2001，6(3):1921.

［4］CuppensF，MiegeA.AlertCorrelationinaCooperativeIntrusionDetectionFramework[C].Procee－dingsofthe2002IEEESymposiumonSecurityandPrivacy，2002.202215.

［5］DebarH，WespiA.AggregationandCorrelationofIntrusionDetectionAlerts[C].Proceedingsofthe4thInternationalSymposiumonRecentAdvancesinIntrusionDetection，2001.85103.

［6］PengN，YunC，DouglasSR.AnalyzingIntensiveIntrusionAlertsviaCorrelation[C].Proceedingsofthe5thInternationalSymposiumonRecentAdvancesinIntrusionDetection，2002.7495.

作者簡介：

史簡(1980)，男，江蘇宜興人，碩士研究生，主要研究方向為信息安全；郭山清(1975)，男，博士研究生，主要研究方向為信息安全；謝立(1942)，男，教授，博導，主要研究方向為分布式計算和并行處理、信息安全等。