網絡安全信息關聯分析技術研究與應用

摘 要：針對當前網絡安全信息分析過程中出現的安全描述片面性、信息可視化程度低和誤報警、漏報警現象等問題，提出運用關聯方法對網絡中的報警和日志信息進行綜合分析，用于提高網絡安全信息分析能力。給出關聯分析的定義和模型，對關聯分析的分類和實施方法進行了闡述，并結合相應事例說明了關聯分析在網絡安全信息分析中的作用。

關鍵詞：關聯分析; 網絡安全; 入侵檢測; 誤報警

中圖法分類號：TP393．08 文獻標識碼：A 文章編號：1001-3695(2006)10-0093-02

Research and Application of Network Security Information

Correlation Technology

HAN Zhengping1，2， CAI Fengjuan3， XU Rongsheng1，2

(1.Computing Centre， Institute of High Energy Physics， Chinese Academy of Sciences， Beijing 100049， China; 2.Graduate School， Chinese Academy of Sciences， Beijing 100049， China; 3.Information Centre， National Copyright Administration， Beijing 100703， China)

Abstract:According to some problems existed in network security information analysis，such as lacking of security description，low information visualization，1positives and 1negatives，this paper suggests implementing correlation in integrated analysis of network alerts and logs to improve the capability of network security information analysis. It gives the definition and model， clarifies the classification and implementation method， and explains the effect of correlation in network security information analysis and process by some correlative examples.

Key words:Correlation; Network Security; Intrusion Detection; Falsepositives

目前，防火墻、入侵檢測系統(IDS)、網絡審計系統等越來越多的安全設備被應用到網絡安全防護工作中。這些設備在使用過程中會產生許多報警與日志信息，并分別給出各自對網絡安全狀況的描述。安全管理員主要通過分析這些信息來確定網絡的安全狀況，然而在分析這些信息的過程中，存在以下問題：①安全描述片面性。網絡攻擊發生后，會在防火墻、IDS等安全防護系統和操作系統、Web服務器等應用系統的日志中留下攻擊的痕跡。孤立地看待這些系統產生的信息，從中得到的網絡安全狀況描述可能會片面而不準確。②信息可視化程度低。由于安全設備太多，所提供的報警信息量太大，信息中真實報警與虛假報警混雜其中，管理員難以在有限時間內完全處理所有數據，更難以識別報警的真實性。③漏報警、誤報警現象[1]。由于檢測系統算法的局限性，大量的報警信息中往往包含著許多誤報警。在管理員面對太多的報警數據無法處理的情況下，真正的報警信息也往往會被忽略，從而造成漏報警現象。

因此，對網絡入侵的分析是一件困難的事情。但是擁有大量的數據也有其有利的一面。入侵者可能會通過技術手段躲避IDS的報警，卻可能在防火墻或系統日志中留下痕跡。如果這些日志信息能被集中起來進行分析，尋找其內在聯系，入侵者的行為就有可能在繁雜的日志信息中變得清晰可見。關聯分析就是從大量數據中尋找內在聯系的一種方式。

1 關聯分析定義及模型

1．1 關聯分析定義

關聯是指將所有系統中的事件以統一格式綜合到一起進行觀察。在網絡安全領域中，關聯分析[2]是指對網絡全局的安全事件數據進行自動、連續分析，根據用戶定義的、可配置的規則來識別網絡威脅和復雜的攻擊模式，從而可以確定事件真實性、進行事件分級并對事件進行有效響應。關聯分析可以用來提高安全操作的可靠性、效率以及可視化程度，并為安全管理和應急響應提供技術手段。

1．2 關聯分析模型

關聯分析需要采集各系統中的原始數據，將采集來的數據進行集中統一管理，根據有關知識進行分析后得到相應的結果。一個典型的關聯分析系統應包括如下部件[3]：

(1)代理。從各個安全數據源采集原始數據，對原始數據進行一定處理，轉換為標準格式，并通過安全信道將數據傳遞給關聯引擎。

(2)數據庫。為關聯分析提供永久性的數據存儲空間，存放從代理獲取的用于進行關聯的數據、進行關聯時的中間數據以及關聯后的結果數據。

(3)知識庫。為了能夠為關聯分析建立一致的分析方法，可使用IDMEF[4]格式對事件關聯進行建模。在XML文檔中，一種稱為文檔類型定義的格式被用來描述IDMEF數據。當然，關聯功能并不直接處理XML格式表示的事件，而是針對一系列預先準備好的數據，一般來說這些數據存儲在數據庫中。

(4)關聯引擎。對來自多個數據源的數據進行聚合、規范化處理后，運用各種關聯方法從相互獨立的數據源中提取相關信息，用于安全事件的分析與處理。

關聯分析模型如圖1所示。

2 關聯分析分類及示例

2．1 關聯分析分類

關聯分析的分類方法很多，比較常用的有根據數據來源和根據關聯方法來進行分類。從數據來源上看，關聯可分為如下兩類[5]：

(1)單數據源關聯。所分析的數據來自單個系統產生的數據集合，如根據IDS產生報警的統計信息來進行關聯，從而得出網絡攻擊的概率分布。單數據源關聯被廣泛用于獨立安全系統內部的數據分析。

(2)多數據源關聯。所分析的數據來自多個系統產生的數據集合，如將IDS報警事件與漏洞掃描事件進行關聯，從而可以降低IDS的誤報率。當關聯技術被應用于分析多種不同設備的事件時，其分析能力大大增強。

從關聯方法上看，關聯可分為如下兩類[6]：

(1)事件序列關聯。針對已知和可檢測攻擊，通過狀態機來為攻擊行為定義檢測模式或規則，可創建一個規則列表，例如，如果接收到事件A和B和C，那么執行動作D。

(2)啟發算法關聯。實現基于事件積累的啟發式算法，它的輸入是大量的事件，通過獲取網絡的即時風險以及風險積累值，輸出網絡安全狀態的簡單表示。它是對事件序列關聯缺點的一種補充，它不去描述或顯示風險的細節，對檢測未知攻擊和顯示大型網絡系統的安全狀況來說，這種方法比較有效。

2．2 關聯分析示例

在實際進行關聯分析時，比較常用的是多數據源關聯以及事件序列關聯方式。下面通過一個例子對防火墻、IDS和網絡流量監視系統(NTOP)的報警和日志信息進行關聯，從而實現多數據源關聯和事件序列關聯。

圖2為一個DCOM漏洞攻擊的測試環境。攻擊機向試驗機發起一個針對DCOM漏洞的攻擊，IDS匹配DCOM漏洞攻擊規則，首先進行報警；關聯引擎查詢防火墻日志，檢查是否存在攻擊機對試驗機的端口號為135或445的TCP連接；如果連接存在，則檢查NTOP是否發現攻擊機與目標機建立會話。如果以上條件都滿足，則產生一條DCOM攻擊成功的報警信息。

XML表述如下：

3 關聯分析實施步驟（圖3）

3．1 數據采集

由于關聯分析需要將多個安全設備上的報警信息集中到一處進行分析，因此需要在各安全設備上設置代理，由代理將安全設備上的信息傳輸到中心數據庫。傳輸的數據有可能是完整的日志數據，也可能是在設備本地作信息搜集并簡單分析后的結果。

3．2 數據分析

數據分析又可以細分為以下三個步驟：

(1)數據聚合。將數據庫中來自多個設備的不同數據集中的數據歸整于一個數據集中，這樣就可以在任意時間觀察到所有安全設備的事件。通過刪除重復數據、歸類相似數據等方式來壓縮數據量，從而將數據保持在一個關聯引擎可以處理的范圍內。

(2)規范化數據。網絡安全產品的多樣性導致安全信息格式的千差萬別，因此必須對這些數據進行規范化處理以進行有效而精確的關聯分析。此步驟將對數據庫中來自不同系統的格式相異的日志信息進行處理，轉換為關聯引擎可以處理的比較規范的數據。

(3)數據關聯。對于數據庫從多個安全設備采集過來的數據，經過聚合和規范化等操作后，已經做好了進行關聯分析的準備。來自于多個安全設備的數據通常復雜而且看起來似乎沒有聯系，需要提供多種分析方法來識別、確認、分級并進行響應。這些方法包括模式識別、統計、數據挖掘等。

3．3 報告生成

關聯分析的目標是綜合分析不同安全設備和應用系統中的數據，為安全管理員提供及時、相關并且準確的關聯數據。這些數據除了應用在實時對網絡安全事件的處理外，應該以特定格式的報告形式出現。根據不同的需要，可以生成確認攻擊的攻擊類型、攻擊目標、響應時間的報表，也可以生成網絡安全趨勢分析、安全狀態的報表以及對網絡事件的解決方案報表等。

4 結論

關聯分析技術應用于網絡安全事件的分析與處理具有如下優點：

(1)通過關聯各網絡安全設備的信息，可以最大限度地利用現有網絡安全設備投資，形成對全局網絡安全狀態的準確描述，從而提高整體防護能力。

(2)通過關聯技術對各安全設備海量信息的處理去除安全無關信息，可以使報警信息量處于管理員可以進行管理的范圍內，從而實現信息的可視化。

(3)關聯分析通過多種設備的日志信息來確認網絡安全事件，可以降低漏報警和誤報警行為。

關聯分析技術在網絡安全事件處理上的應用，目前存在如下問題：

(1)由于網絡中的安全產品、網絡設備和應用系統的多樣性，導致事件數據格式相差較大；另外由于安全廠商對系統數據的開放程度不同，因此在安全數據的聚合與處理等方面存在較大難度。

(2)網絡安全關聯分析運算量大，涉及到多個系統的數據，這些數據間往往還存在時序關系，因此難以滿足一些實時性要求高的處理要求。

網絡安全防護一般分為預防、檢測和響應三個階段，關聯分析與每個階段都相關，它將使檢測變得可行，會為響應和未來的防護提供可靠信息。關聯分析并不是安全防護的最后一步，它為安全事件的分析、確認、分級和響應等活動提供了有力的依據。由于關聯分析能夠解決當前網絡安全事件處理的一些難題，因此必然會越來越廣泛地應用到網絡安全領域中。

參考文獻：

[1]T Chyssler. Reducing False Alarm Rates in Intrusion Detection Systems[D]. Linkping University， 2003.26-27.

[2]F Cuppens， A Miege. Alert Correlation in a Cooperative Intrusion Detection Framework[C]. Proceedings of the IEEE Symp. on Security and Privacy， 2002.202-215.

[3]Michael Martin. Keys to Implementing a Successful Security Information Management Solution[C]. GSEC Practical， version 1.4b， 2003.33-35.

[4]D Curry， H Debar， et al. IDMEF Data Model and XML DTD[R]. draftietfidwgidmefxml02.txt. 2000.

[5]Matthew Caldwell. Event Correlation: Security’s Holy Grail[R]. BlackHat Briefings， Las Vegas， 2002.

[6]Benjamin Morin， Ludovic Me， et al. M2D2: A Formal Data Model for IDS Alert Correlation[C]. Proceedings of Recent Advances in Intrusion Detection， 2002.115-137.

作者簡介：

韓正平，男，工程師，博士研究生，主要研究方向為網絡信息安全；蔡鳳娟，高級工程師；許榕生，研究員，博導，主要研究方向為網絡信息安全。

注:本文中所涉及到的圖表、注解、公式等內容請以PDF格式閱讀原文