網絡安全事件關聯分析技術研究

謝應濤

（西華師范大學實驗中心，南充　637000）

網絡安全事件關聯分析技術研究

謝應濤

（西華師范大學實驗中心，南充637000）

0　引言

不同于傳統的計算機網絡安全防御方法，使用防火墻、殺毒軟件以及網絡安全硬件產品來防止計算機入侵，網絡安全事件關聯方法可以極大地減少處理網絡安全報警的人工和金錢。在以往，處理各類安全報警的方法是由人工來完成，既浪費時間同時還不能保證能從大量誤報警、重復報警信息中找到關鍵的有用信息。歸納起來，突出的問題主要有三點：第一，安全數據量大，不容易處理、分析；第二，安全數據雜亂無章，不易整理；第三，安全事件發生的隨機性大，不容易歸檔分類整理出有價值的信息。因此，網絡安全事件的嚴重后果總是發生后才能被用戶察覺，甚至在發生后很長一段時間內仍然不被用戶發現。

正因為這些問題，對網絡安全數據進行有效的分析，發現其中隱含可能發生的網絡攻擊事件或者入侵漏洞，對網絡攻擊的預防和整個網絡的監控有著重要的意義。網絡安全事件關聯也可稱之為廣義的入侵檢測，是針對網絡安全事件處理中存在的問題而提出的一套特定的數據關聯方法，它將不同空間來源和不同時間序列的安全事件與具體的網絡環境結合在一起，通過分析網絡安全事件之間以及安全事件與其環境之間的關系，來減少誤報，彌補漏報，最終鎖定攻擊,只有這樣才能完善網絡安全防御體系，確保數據交互的安全。

1　研究背景

分析網絡安全事件關聯性的目的是為了通過現有數據預測網絡攻擊，達到提前預防，保護計算機不受網絡攻擊。當前研究的方法分別表現在關聯分析過程的不同階段，它們是：報警事件聚合、報警事件分類、攻擊原因關聯分析、風險評估等。

報警事件聚合分析目前主要采用根據安全日志中的各類報警屬性存在共有特征來計算分析。在文獻［1］中用手工定義的入侵事件之間概率相似性來創建安全事件關聯分析系統,這類方法的優點是在對相似報警進行分類時非常有效，能夠高效地合并相似度很大的報警，但不足在于不能很好找出一類報警中的前后聯系，并且也不能把屬于不同類別但卻有聯系的報警事件關聯。文獻［2］提出的用關聯和聚類的方法用于入侵報警的關聯分析，同時關心相似性和因果關系，一定程度上解決了這個問題。

聚合過程能在很大程度上降低報警數量，但不能消除錯誤報警和無效報警，而這些不正確的報警又會對后續的關聯分析過程產生較大的影響［3］。為了得到報警間的相互關系，研究提出了一種可以通過分析攻擊間關系的方法來進行步驟式關聯分析。文獻［4］基于該思想，提出了基于三元組的知識表示方法，并用關聯算法模擬再現了攻擊環境；文獻 ［5］基于該思想完善了MIRADOR系統的安全性。但是，這類方法也有其局限性，因果關系建立復雜且耗費時間，不適合在關聯分析過程中單獨使用。因此，又有一些研究利用已掌握的攻擊環境和已有的數據集中挖掘出知識并進行安全事件關聯分析，文獻［6］使用該思想提出了專家知識庫的構建，并在此基礎上進行關聯分析的方法。除此之外，在文獻［7］中還對該方法中的規則生成過程進行了優化。

很多研究從統計學角度進行發掘，也產生了較多的方法，如文獻［8］利用時間序列之間的統計關系對安全事件做關聯分析；文獻［9］提出了一個基于人機交互的知識發現的入侵事件關聯方法，從安全事件嚴重程度的分析方面分析；文獻［10］對分布式入侵檢測系統中分級報警關聯技術進行了研究，提出了一種改進增量貝葉斯分類器的概率關聯方法。

盡管做了很多研究，但是網絡安全事件關聯分析方法還缺少一個系統的延續性的研究，各種方法都從不同方面做出了嘗試，但是缺少一種開創性的方法來指導整個體系的創建。

2　關聯技術研究

正因為對網絡安全關聯技術沒有一個整體的分析研究，因此更需要對網絡安全事件關聯技術的流程進行梳理。首先對原始報警數據去重與合并，然后進行關聯分析，這樣才能得到有用的預判信息。現階段的研究中，網絡安全事件可以分為三類：基于相似度的關聯、基于環境狀態的關聯以及基于因果關系的關聯。

2.1基于相似度的關聯

此類關聯通常假設認定相關報警在屬性上具有一定程度的相似性。此假設可以從現實中的攻擊事件的還原分析中得到證明。文獻［11］提出了利用概率統計的方法來計算攻擊特征中相關屬性之間的相似度；文獻［12］使用的則是模擬退火算法，使用聚類分析來處理報警之間距離關系來判定相似度；文獻［13］提出的基于自定義的報警間距離的方法，用概率的方法定義了報警間距離，然后將相近的報警聚成一類；文獻［14］結合人工智能的思想，采用模糊認知映射圖，鏈接到入侵數據融合中，認為安全事件之間的松散關系也在有序集合中，衡量有序關系同樣采用基于概率的方法。歸納起來，基于屬性的相似度計算可以分為兩類：基于屬性類別和基于各屬性相似度。屬性類別需要從安全事件中通過分類器獲取，獲取的種類包括了硬件上的分類，攻擊方式的分類，攻擊位置及攻擊時間等信息。屬性相似度根據特征各有不同，這需要具有一定的報警事件專家知識。基于信息相似度的計算，如在文獻［15］基于時間而文獻［16］基于IP地址而已。此類方法需提前進行分類規則設定，設定好相似度標準、權重系數等，可以較好地處理誤報警問題，且算法實時性較好；但這種方式不解釋攻擊的具體內容，不能了解攻擊范圍和強度，不能有效關聯攻擊報警之間的時序關系和因果關系，難以識別復雜背景下的攻擊，且屬性相似度的計算以及各屬性間的系數分配很大程度上依賴于各個環境中的專業知識，依賴度大，因此跨平臺效果不佳。

2.2基于環境狀態的關聯

此類基于攻擊環境狀態的關聯將入侵過程描述為攻擊環境狀態，攻擊環境狀態分為：探測階段、嘗試階段、更改權限階段、展開攻擊階段、拒絕服務階段。其具體原理是根據人的分析來制定規則，機器學習規則后模擬整個環境狀態［17］。文獻［18］通過機器學習的方法來訓練包含已知入侵環境狀態的數據集來模擬報警關聯模型。但是這類方法的缺點在于需要在每一種環境狀態中進行訓練，而且結果模型可能對訓練數據集的依賴性比較大，如果沒有出現在訓練集中的攻擊環境狀態有可能被忽視。

在早期也有一種攻擊圖方法，在安全分析中考慮了網站本身構成的拓撲結構。用攻擊模板描述一致的攻擊行為，然后通過已有的攻擊模板，從目標狀態逆向生成系統的攻擊圖，生成成功則表明系統存在脆弱性，反之則安全。

2.3基于因果關系的關聯

這類方法基于因果關系而設計，使用攻擊前提條件和后續結果來關聯安全信息攻擊數據，從中找到因果關系給出有用的報警信息。其具體思路是：尋找一個攻擊X開始的先決條件和攻擊事件Y作為攻擊結果，分析它們之間是否存在邏輯聯系，如果存在，則X和Y就可能是一個系列攻擊的兩個環節。文獻［19］中事先定義了各種攻擊可能發生的原因和結果之間聯系的知識庫，通過對報警實例之間前因和后果的匹配，形成報警關聯圖。有了對攻擊的先決條件和攻擊后果的詳細描述，關聯的過程就相對容易得多。但是這類方法的缺點也是明顯的：因果關系復雜，要建立知識庫還沒有比較完善的解決方案，運行中耗費資源大，需要對各個因果關系進行匹配。

3　結語

在經濟信息化高速發展的今天，網絡安全直接關系著國家和社會以及每個人的切身利益。隨著網絡技術的快速發展，針對國家及個人的網絡安全攻擊呈現了分布化、集群化、復雜化等趨勢發展。因此急切需要研究多方面的網絡安全技術針對這些危害，不僅能做出補救而且還能提前預防與分析。面對錯綜復雜的網絡安全問題，及時對安全狀態進行捕獲和分析，發掘出隱含的變化事態，找到整個網絡中宏觀存在的問題正是網絡安全事件關聯分析的主要任務。本文介紹了網絡安全事件關聯技術并提出了現有存在的問題：基于各種模型或者算法的關聯方法本身還不完善，具體的問題有：算法效率的性價比問題，關聯技術的準確度問題，適用范圍等問題都有待于改進完善；另外一個比較重要的問題是，大部分的研究還處于實驗室階段，大規模的商業化應用還需要走很長的一段路。

［1］D.Andersson,M.Fong,A.Valdes.Heterogeneous Sensor Correlation:A Case Study of Live Traffic Analysis.Presented at Third Ann. IEEE Information Assurance Workshop,June,2002：1～12

［2］H.a.W.Debar,A..Aggregation and Correlation of Intrusion-Detection Alerts，2001:87～105

［3］S.T.Eckmann,G.Vigna,R.A.Kemmerer.STATL:An Attack Language for State-based Intrusion Detection.J.of Computer Security, 10（1/2），2002:71～104

［4］P.Ning,Y.Cui,D.S.Reeves.Analyzing Intensive Intrusion Alerts Via Correlation.Presented at Recent Advances in Intrusion Detection.5th International Symposium,RAID 2002.Proceedings,16-18 Oct.2002,Zurich,Switzerland,2002:74～94

［5］F.Cuppens，R.Ortalo.LAMBDA:a Language to Model a Database for Detection of Attacks.Toulouse,France,2000:197～216

［6］J.L.Hellerstein,S.Ma,C.-S.Perng.Discovering Actionable Patterns in Event Data.IBM Systems Journal,vol.41,2002:475～493

［7］C.Araujo,A.Biazetti,A.Bussani,J.Dinger,M.Feridun,A.Tanner.Simplifying Correlation Rule Creation for Effective Systems Monitoring.Presented at Utility Computing.15th IFIP/IEEE International Workshop on Distributed Systems:Operations and Management, DSOM 2004.Proceedings,15-17 Nov.2004,Davis,CA,USA,2004:266～268

［8］李家春,李之棠.神經模糊入侵檢測系統的研究.計算機工程與應用，2001，37：37～38

［9］李輝,韓崇昭,鄭慶華,昝鑫.一種基于交互式知識發現的入侵事件關聯方法研究.計算機研究與發展,2004:11,2004:1911～1918

［10］L.Z.-t.Li Jia-chun.Novel Model for Intrusion Detection.Wuhan University Journal of Natural Sciences,2003,:8：46～50

［11］KRUGEL C，TOTH T，KERER C．Decentralized Event Correlation for Intrusion Detection．4th Intemational Conference on Information Security and Cryptology（ICISC），2001：114～13 1P University，Department of Computer Science，2001

［12］P,Ning，Yun Cui．An Intrusion Alert Correlator Based on Prerequisites of Intrusions．Technical Report TR-2002-01，North Carolina State University，Department of Computer Science，2002

［13］Christopher Alberts，Audrey Dorofee，James Stevens，Carol Woody．Introduction to the OCTAVE Approach．Carnegie Mellon Software Engineering Institute．August 2003．http://www．cert．org/octave/approach_Intro.pdf

［14］P A Porras，M W Fong and A Valdes．A Mission-Impact-Based Approach to INFOSEC Alarm Correlation．RAID．Spring Verlag，October 2002:95～114

［15］Desai N．IDS Correlation of VA Data and IDS Alerts.http://www.securityfocus.com/infocus/1708,2003

［16］Ron Gula.Correlating IDS Alerts with Vulnerability Information.TENABLE Network Security Inc.,2007

［17］AlienVault LLC.http://www.alienvault.com/［EB/OL］.

［18］JBoss Community.http://www.jboss.org/drools/［EB/OL］.

［19］P.Ning，D.Xu.Hypothesizing and Reasoning about Attacks Missed by Intrusion Detection Systems.ACM Transactions on Information and System Security,591,2004，7，1～34

Network Security；Event Correlation

Research on the Technology of Network Security Event Correlation

XIE Ying-tao
（Experiment Center，China West Normal University，Nanchong637000）

1007-1423（2015）08-0065-04

10.3969/j.issn.1007-1423.2015.08.015

謝應濤（1982-），男，四川南充人，碩士，研究方向為人機交互、數據安全

2015-01-08

2015-02-10

隨著技術的發展和社會發展對網絡依賴度的增加，網絡安全事件發生的頻率較高，網絡攻擊難以及時被發現或預判。網絡安全事件關聯分析技術不同于傳統手段，而是通過關聯技術來推測將要發生的網絡攻擊，使得網絡管理人員能夠及早制定出有效的防范對策而減少損失，甚至可以在攻擊發生前就將其阻止。主要研究網絡安全事件關聯分析技術并提出未來發展的趨勢。

網絡安全；事件關聯

Network security events occur very frequently and the network attacks are difficult to be found in time or predicted.Network security event correlation technology differs from traditional software vulnerabilities through patches,intrusion detection and other means to establish security and defense systems,through the network security event correlation techniques to predict the future of network security incidents will occur,and even be able to take appropriate counter-measures in advance,before the attack will not happen of its blocked.Describes the underlying technologies and methods on network security event correlation technology and proposes future development trends.