1. 引言

 

1.1 研究背景

近年來，計算機網絡得到快速發展，各種產業對于互聯網的依賴越來越強。網絡用戶更是飛速增長，人們的日常生活已離不開網絡環境[1]。而網絡安全事件層出不窮，給人們的生活乃至整個社會都造成了極大的損失。如 2006 年的“熊貓燒香”肆虐網絡，對整個中國的互聯網都造成了極大沖擊； 2014 年 4 月出現了 OpenSSL 的“心臟出血”漏洞，黑客可以實時獲取用戶賬號和密碼，對人們的財產造成了極大的威脅[2]；2014 年 12 月，12306 遭受撞庫攻擊，10 萬多用戶數據遭到泄露；在這種情況下，如何有效保障網絡的安全性和可靠性成了人們主要關心的問題。從近些年網絡安全事件，可以看出如今的黑客攻擊、病毒等都不是以往的單一攻擊，既有病毒、黑客入侵、也有 DDoS(分布式拒絕服務攻擊)，以及路由攻擊、口令攻擊等多種方式，攻擊從客戶端、網絡直至服務器，遍布網絡各個層面[3]。面對如今這種多層次的混合攻擊，傳統的單一保護方法顯得力不從心。因此就需要一種新的解決方案，可以對多種攻擊方式做出防御，這種方案就是集成式網絡安全解決方案。這種集成方案并不僅僅是簡單的把幾種功能累加，而是充分利用各種功能的優勢，取長補短，從而達到一種更好的效果[4]。并且還可以針對用戶具體需求進行定制，根據網絡需求進行相應的配置。這樣就可以有效的解決目前單一技術很難應對種類繁多的網絡異常的問題，保障網絡的安全和可靠。目前有許多網絡安全產品，如 ossec、snort、nessus 等，然而這些產品都是一個獨立的針對某一方面的，彼此之間都沒有相關性，數據無法共享，很難對如今復雜的網絡環境進行有效的防護。為了進行更加全面的防護，必須要把這些功能進行集成，實現一個集成的安全系統[5]，關聯分析技術則是實現集成功能的基礎。通過關聯引擎可以對多種數據來源進行分析，從而獲取真正有意義的數據，有效的利用了網絡資源，提高了檢測的準確性。同時還可以對整個網絡進行實時風險評估，讓網絡管理人員可以直觀的看到當前網絡所面臨的問題，并快速做出響應。

.........

 

1.2 研究現狀

 

1.2.1 國內研究現狀

我國信息安全領域這些年也在飛速發展，但由于開始比較晚，在信息安全相關技術和管理等核心技術上和國外還存在一定差距。但國家對于信息安全的重視程度越來越高，所投入的資金和精力也越來越多。中科院韓正平博士所提出的關聯分析在網絡安全中的應用，通過關聯分析算法有效的降低了報警數量，并可以對網絡風險進行評估，以讓安全管理人員在最短時間內了解安全風險[6]；哈爾濱工程大學的金文進設計了網絡安全事件發現與關聯分析系統。其中提出了基于攻擊圖關聯分析算法以及基于屬性相似度關聯分析算法[7]，可以對多種事件進行有效的關聯，有效的精簡報警，降低誤報率；北京郵電大學的楊茜越設計與實現了一種針對網絡安全態勢分析系統的關聯引擎[8]。從各種安全設備的海量數據中關聯出真正有價值的數據，消除誤報。使得不同層次的用戶都能夠準確感知網絡狀態；四川大學的王益風、李濤等人借鑒人體免疫系統，提出了基于人體免疫的網絡安全事件風險監測方法[9]，實現了網絡系統中抗體的學習機制、克隆選擇和生命周期模型；西安交通大學的陳秀真等人，將 IDS 系統與防火墻進行了集成，實現集成化的安全監控平臺，通過 IDS 報警信息和網絡性能指標對網絡安全進行定量威脅評估[10]；哈爾濱工程大學的趙國勝、王慧強等人通過對網絡安全態勢中各個關鍵性指標值之間進行關聯分析，采用灰色理論的基礎上，提出了基于灰色分析的網絡可生存性態勢評估方法[11]。同時國內的許多安全廠商也開始研究集成安全系統。例如啟明星辰的信息安全中心運營系統，在一個平臺上進行數據采集、分析、評先評估、界面展示等網絡安全管理功能。天融信公司開發的網絡安全管理整體解決方案，包含了防火墻、審計系統、IDS、評估系統等。該方案可以實現對網絡中各種安全產品進行集中管理和控制。

........

 

2. 集成安全管理系統相關技術介紹

 

隨著計算機和網絡技術的飛速發展，網絡成為了人們進行聯系的主要渠道，企業的各種業務也都建立在互聯網環境中。但在享受互聯網的便捷、高效的同時，卻也時刻面臨著巨大的風險。據統計，現在全球平均每 20s 就發生一次網絡入侵事件，重大安全事件層出不窮，每年因網絡安全問題造成的經濟損失高達數千億美元[22]。我們平時所使用的 U 盤、光盤等都可能攜帶病毒；郵件、網頁、下載軟件都可能被黑客進行攻擊，包括服務器、路由器、網關都會被攻破，我們所處的網絡環境時刻面臨危險。為此設計了集成安全系統，所謂集成系統也就是把目前市場上主流的一些安全技術進行融合，充分利用各種工具的優勢，取長補短。下面將介紹一些其中所用到的關鍵技術。

 

2.1 關聯引擎

關聯引擎是集成管理系統中的一個核心部分，主要負責各種數據進行關聯分析及風險評估。工作流程如圖 2.1 所示：針對不同特點，市場上也出現了幾種不同的 IDS 產品，根據檢測手段可以分為：基于主機的入侵檢測系統(HIDS，Host Based Intrusion Detection System)、基于網絡的入侵檢測系統(NIDS，Network Intrusion Detection System)、主機和網絡混合的入侵檢測系統[24]。基于主機的入侵檢測系統：HIDS 并不著重系統的外部信息，而主要作用與系統內部狀況。HIDS 檢測的數據主要是一些日志信息，從日志信息可以發現系統內部的變動痕跡，進而判斷是否有異常操作。OSSEC 是如今使用比較廣泛的開源 HIDS 系統，通過將 Agent 安裝到檢測主機上來采集數據，可用于日志分析、完整性檢查機 Rootkit 檢測。管理員可以根據自己的需要來對配置文件進行修改以適應自己的環境。

........

 

2.2 入侵檢測系統

 

2.2.1 入侵檢測系統簡介

入侵檢測系統即 IDS(Intrusion Detection Systems)；IDS 實時監控網絡運行狀態，從而盡可能的發現網絡入侵行為，確保網絡資源的安全性、可用性[23]。相比于防火墻，IDS 不會阻斷任何網絡訪問，只是在網絡上收集所關心的報文，對收集的報文進行統計、分析，以及異常特征庫進行匹配從而發現異常信息。通過對 IDS 系統的部署、配置后，IDS 系統就可以檢測網絡流量、主機等，一旦發現危險就會及時發出報警信息，從而及時采取對應的措施，并且 IDS 系統的配置、使用也非常簡單方便，非專業人士也能很容易進行使用。IDS 系統工作原理如圖 2.2 所示。

.......

 

3 系統總體結構分析與設計......12

3.1 系統功能............12

3.2 系統需求分析....13

3.3 系統功能模塊總體設計........16

3.4 系統數據庫設計..........18

3.5 本章小結............21

4 數據采集模塊設計與實現......22

4.1 數據采集功能設計......22

4.2 數據采集模塊具體實現........23

4.2.1 主動采集..........23

4.2.2 被動采集..........26

4.2.3 事件標準化處理....... 26

4.2.4 數據采集功能可擴展性..... 27

4.3 本章小結............28

5 關聯引擎設計與實現....29

5.1 關聯算法............29

5.2 事件序列關聯設計......31

5.2.1 關聯規則構建............32

5.2.2 關聯規則實例............34

5.3 啟發式關聯設計..........36

5.4 關聯引擎的實現..........37

5.5 本章小結............43

 

7. 系統部署與實現

 

本系統最終在中科院高能所計算中心進行部署與實現，下面對系統的部署與實現過程進行詳細分析。

 

7.1 系統部署

本系統基于中國科學院高能物理研究所計算中心。計算中心主要負責為高能所大科學工程提供網絡支持和服務，負責建設、運行和維護大規模的高性能科學計算和網絡環境，是國際高能物理網格計算平臺的中國區域中心，同時開展高性能計算、海量存儲、網格計算與云計算、高速網絡、網絡安全等高能物理相關的計算技術研究，是中國目前隊伍最為齊全，技術力量最為雄厚的高能物理計算中心。除了提供高性能計算服務之外，計算中心還負責高能所的科研信息化建設，為科研管理等提供信息化系統和服務支撐。計算中心被國際評估專家評為國內領先水平并具有國際影響力的計算中心。計算中心基礎科研設施包括計算機及網絡機房環境，網絡設備、計算資源、存儲資源。所有資源均用于提供為科研及管理提供計算及網絡服務。對于錯綜復雜的網絡環境，必然會存在大量的風險，這些風險既包括內部風險也有來自外部的攻擊行為。為了應對這些安全行為，保證網絡服務的安全性，大量的防火墻、IDS/IPS、漏洞掃描系統及各種防病毒軟件被部署應用，這種方法雖然可以起到一定的作用，但也帶來了巨大的問題，多種安全措施給網絡環境帶來了巨大的復雜性，不便于管理。集成安全管理系統將現有的多種安全工具有機的聯合起來，協同工作，通過對各種安全事件的分析，可以有效的了解網絡安全狀況。包括各種網絡攻擊的發生頻率和規模、攻擊事件的嚴重性等。

.......

 

總結

 

本文首先對目前網絡安全技術進行了介紹，并對入侵檢測技術、漏洞掃描流分析等常用的技術進行了逐一介紹，分析了其優勢與不足之處。在此基礎上，針對目前網絡安全現狀與需求，提出了集成式安全系統的必要性。集成安全管理系統的目的在于把當今一些流行的安全工具進行融合，充分利用各個工具的優勢，從而對網絡進行更加全面的、多方位的防護。為了講這些工具進行有效的融合，必須采取一種好的方法，本文設計與實現了關聯引擎，通過關聯引擎可以對各種工具產生的數據進行關聯從而獲取更加精準的報警信息以及進行網絡風險評估。由于各種安全工具產生的數據沒有統一規范，因此設計與實現了數據標準化功能，對各種類型的數據進行統一的標準化處理后在發送到關聯引擎進行分析。然后對關聯引擎進行了測試，驗證了關聯引擎的有效性。最后設計了系統的部署方案，并對其進行了部署與配置。對系統中的主要功能進行了實現，驗證了其有效性。

..........

參考文獻（略）