1. 引言

 

1.1 研究背景

近年來，計算機網(wǎng)絡(luò)得到快速發(fā)展，各種產(chǎn)業(yè)對于互聯(lián)網(wǎng)的依賴越來越強。網(wǎng)絡(luò)用戶更是飛速增長，人們的日常生活已離不開網(wǎng)絡(luò)環(huán)境[1]。而網(wǎng)絡(luò)安全事件層出不窮，給人們的生活乃至整個社會都造成了極大的損失。如 2006 年的“熊貓燒香”肆虐網(wǎng)絡(luò)，對整個中國的互聯(lián)網(wǎng)都造成了極大沖擊； 2014 年 4 月出現(xiàn)了 OpenSSL 的“心臟出血”漏洞，黑客可以實時獲取用戶賬號和密碼，對人們的財產(chǎn)造成了極大的威脅[2]；2014 年 12 月，12306 遭受撞庫攻擊，10 萬多用戶數(shù)據(jù)遭到泄露；在這種情況下，如何有效保障網(wǎng)絡(luò)的安全性和可靠性成了人們主要關(guān)心的問題。從近些年網(wǎng)絡(luò)安全事件，可以看出如今的黑客攻擊、病毒等都不是以往的單一攻擊，既有病毒、黑客入侵、也有 DDoS(分布式拒絕服務(wù)攻擊)，以及路由攻擊、口令攻擊等多種方式，攻擊從客戶端、網(wǎng)絡(luò)直至服務(wù)器，遍布網(wǎng)絡(luò)各個層面[3]。面對如今這種多層次的混合攻擊，傳統(tǒng)的單一保護方法顯得力不從心。因此就需要一種新的解決方案，可以對多種攻擊方式做出防御，這種方案就是集成式網(wǎng)絡(luò)安全解決方案。這種集成方案并不僅僅是簡單的把幾種功能累加，而是充分利用各種功能的優(yōu)勢，取長補短，從而達到一種更好的效果[4]。并且還可以針對用戶具體需求進行定制，根據(jù)網(wǎng)絡(luò)需求進行相應(yīng)的配置。這樣就可以有效的解決目前單一技術(shù)很難應(yīng)對種類繁多的網(wǎng)絡(luò)異常的問題，保障網(wǎng)絡(luò)的安全和可靠。目前有許多網(wǎng)絡(luò)安全產(chǎn)品，如 ossec、snort、nessus 等，然而這些產(chǎn)品都是一個獨立的針對某一方面的，彼此之間都沒有相關(guān)性，數(shù)據(jù)無法共享，很難對如今復(fù)雜的網(wǎng)絡(luò)環(huán)境進行有效的防護。為了進行更加全面的防護，必須要把這些功能進行集成，實現(xiàn)一個集成的安全系統(tǒng)[5]，關(guān)聯(lián)分析技術(shù)則是實現(xiàn)集成功能的基礎(chǔ)。通過關(guān)聯(lián)引擎可以對多種數(shù)據(jù)來源進行分析，從而獲取真正有意義的數(shù)據(jù)，有效的利用了網(wǎng)絡(luò)資源，提高了檢測的準確性。同時還可以對整個網(wǎng)絡(luò)進行實時風險評估，讓網(wǎng)絡(luò)管理人員可以直觀的看到當前網(wǎng)絡(luò)所面臨的問題，并快速做出響應(yīng)。

.........

 

1.2 研究現(xiàn)狀

 

1.2.1 國內(nèi)研究現(xiàn)狀

我國信息安全領(lǐng)域這些年也在飛速發(fā)展，但由于開始比較晚，在信息安全相關(guān)技術(shù)和管理等核心技術(shù)上和國外還存在一定差距。但國家對于信息安全的重視程度越來越高，所投入的資金和精力也越來越多。中科院韓正平博士所提出的關(guān)聯(lián)分析在網(wǎng)絡(luò)安全中的應(yīng)用，通過關(guān)聯(lián)分析算法有效的降低了報警數(shù)量，并可以對網(wǎng)絡(luò)風險進行評估，以讓安全管理人員在最短時間內(nèi)了解安全風險[6]；哈爾濱工程大學的金文進設(shè)計了網(wǎng)絡(luò)安全事件發(fā)現(xiàn)與關(guān)聯(lián)分析系統(tǒng)。其中提出了基于攻擊圖關(guān)聯(lián)分析算法以及基于屬性相似度關(guān)聯(lián)分析算法[7]，可以對多種事件進行有效的關(guān)聯(lián)，有效的精簡報警，降低誤報率；北京郵電大學的楊茜越設(shè)計與實現(xiàn)了一種針對網(wǎng)絡(luò)安全態(tài)勢分析系統(tǒng)的關(guān)聯(lián)引擎[8]。從各種安全設(shè)備的海量數(shù)據(jù)中關(guān)聯(lián)出真正有價值的數(shù)據(jù)，消除誤報。使得不同層次的用戶都能夠準確感知網(wǎng)絡(luò)狀態(tài)；四川大學的王益風、李濤等人借鑒人體免疫系統(tǒng)，提出了基于人體免疫的網(wǎng)絡(luò)安全事件風險監(jiān)測方法[9]，實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)中抗體的學習機制、克隆選擇和生命周期模型；西安交通大學的陳秀真等人，將 IDS 系統(tǒng)與防火墻進行了集成，實現(xiàn)集成化的安全監(jiān)控平臺，通過 IDS 報警信息和網(wǎng)絡(luò)性能指標對網(wǎng)絡(luò)安全進行定量威脅評估[10]；哈爾濱工程大學的趙國勝、王慧強等人通過對網(wǎng)絡(luò)安全態(tài)勢中各個關(guān)鍵性指標值之間進行關(guān)聯(lián)分析，采用灰色理論的基礎(chǔ)上，提出了基于灰色分析的網(wǎng)絡(luò)可生存性態(tài)勢評估方法[11]。同時國內(nèi)的許多安全廠商也開始研究集成安全系統(tǒng)。例如啟明星辰的信息安全中心運營系統(tǒng)，在一個平臺上進行數(shù)據(jù)采集、分析、評先評估、界面展示等網(wǎng)絡(luò)安全管理功能。天融信公司開發(fā)的網(wǎng)絡(luò)安全管理整體解決方案，包含了防火墻、審計系統(tǒng)、IDS、評估系統(tǒng)等。該方案可以實現(xiàn)對網(wǎng)絡(luò)中各種安全產(chǎn)品進行集中管理和控制。

........

 

2. 集成安全管理系統(tǒng)相關(guān)技術(shù)介紹

 

隨著計算機和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)成為了人們進行聯(lián)系的主要渠道，企業(yè)的各種業(yè)務(wù)也都建立在互聯(lián)網(wǎng)環(huán)境中。但在享受互聯(lián)網(wǎng)的便捷、高效的同時，卻也時刻面臨著巨大的風險。據(jù)統(tǒng)計，現(xiàn)在全球平均每 20s 就發(fā)生一次網(wǎng)絡(luò)入侵事件，重大安全事件層出不窮，每年因網(wǎng)絡(luò)安全問題造成的經(jīng)濟損失高達數(shù)千億美元[22]。我們平時所使用的 U 盤、光盤等都可能攜帶病毒；郵件、網(wǎng)頁、下載軟件都可能被黑客進行攻擊，包括服務(wù)器、路由器、網(wǎng)關(guān)都會被攻破，我們所處的網(wǎng)絡(luò)環(huán)境時刻面臨危險。為此設(shè)計了集成安全系統(tǒng)，所謂集成系統(tǒng)也就是把目前市場上主流的一些安全技術(shù)進行融合，充分利用各種工具的優(yōu)勢，取長補短。下面將介紹一些其中所用到的關(guān)鍵技術(shù)。

 

2.1 關(guān)聯(lián)引擎

關(guān)聯(lián)引擎是集成管理系統(tǒng)中的一個核心部分，主要負責各種數(shù)據(jù)進行關(guān)聯(lián)分析及風險評估。工作流程如圖 2.1 所示：針對不同特點，市場上也出現(xiàn)了幾種不同的 IDS 產(chǎn)品，根據(jù)檢測手段可以分為：基于主機的入侵檢測系統(tǒng)(HIDS，Host Based Intrusion Detection System)、基于網(wǎng)絡(luò)的入侵檢測系統(tǒng)(NIDS，Network Intrusion Detection System)、主機和網(wǎng)絡(luò)混合的入侵檢測系統(tǒng)[24]?；谥鳈C的入侵檢測系統(tǒng)：HIDS 并不著重系統(tǒng)的外部信息，而主要作用與系統(tǒng)內(nèi)部狀況。HIDS 檢測的數(shù)據(jù)主要是一些日志信息，從日志信息可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的變動痕跡，進而判斷是否有異常操作。OSSEC 是如今使用比較廣泛的開源 HIDS 系統(tǒng)，通過將 Agent 安裝到檢測主機上來采集數(shù)據(jù)，可用于日志分析、完整性檢查機 Rootkit 檢測。管理員可以根據(jù)自己的需要來對配置文件進行修改以適應(yīng)自己的環(huán)境。

........

 

2.2 入侵檢測系統(tǒng)

 

2.2.1 入侵檢測系統(tǒng)簡介

入侵檢測系統(tǒng)即 IDS(Intrusion Detection Systems)；IDS 實時監(jiān)控網(wǎng)絡(luò)運行狀態(tài)，從而盡可能的發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，確保網(wǎng)絡(luò)資源的安全性、可用性[23]。相比于防火墻，IDS 不會阻斷任何網(wǎng)絡(luò)訪問，只是在網(wǎng)絡(luò)上收集所關(guān)心的報文，對收集的報文進行統(tǒng)計、分析，以及異常特征庫進行匹配從而發(fā)現(xiàn)異常信息。通過對 IDS 系統(tǒng)的部署、配置后，IDS 系統(tǒng)就可以檢測網(wǎng)絡(luò)流量、主機等，一旦發(fā)現(xiàn)危險就會及時發(fā)出報警信息，從而及時采取對應(yīng)的措施，并且 IDS 系統(tǒng)的配置、使用也非常簡單方便，非專業(yè)人士也能很容易進行使用。IDS 系統(tǒng)工作原理如圖 2.2 所示。

.......

 

3 系統(tǒng)總體結(jié)構(gòu)分析與設(shè)計......12

3.1 系統(tǒng)功能............12

3.2 系統(tǒng)需求分析....13

3.3 系統(tǒng)功能模塊總體設(shè)計........16

3.4 系統(tǒng)數(shù)據(jù)庫設(shè)計..........18

3.5 本章小結(jié)............21

4 數(shù)據(jù)采集模塊設(shè)計與實現(xiàn)......22

4.1 數(shù)據(jù)采集功能設(shè)計......22

4.2 數(shù)據(jù)采集模塊具體實現(xiàn)........23

4.2.1 主動采集..........23

4.2.2 被動采集..........26

4.2.3 事件標準化處理....... 26

4.2.4 數(shù)據(jù)采集功能可擴展性..... 27

4.3 本章小結(jié)............28

5 關(guān)聯(lián)引擎設(shè)計與實現(xiàn)....29

5.1 關(guān)聯(lián)算法............29

5.2 事件序列關(guān)聯(lián)設(shè)計......31

5.2.1 關(guān)聯(lián)規(guī)則構(gòu)建............32

5.2.2 關(guān)聯(lián)規(guī)則實例............34

5.3 啟發(fā)式關(guān)聯(lián)設(shè)計..........36

5.4 關(guān)聯(lián)引擎的實現(xiàn)..........37

5.5 本章小結(jié)............43

 

7. 系統(tǒng)部署與實現(xiàn)

 

本系統(tǒng)最終在中科院高能所計算中心進行部署與實現(xiàn)，下面對系統(tǒng)的部署與實現(xiàn)過程進行詳細分析。

 

7.1 系統(tǒng)部署

本系統(tǒng)基于中國科學院高能物理研究所計算中心。計算中心主要負責為高能所大科學工程提供網(wǎng)絡(luò)支持和服務(wù)，負責建設(shè)、運行和維護大規(guī)模的高性能科學計算和網(wǎng)絡(luò)環(huán)境，是國際高能物理網(wǎng)格計算平臺的中國區(qū)域中心，同時開展高性能計算、海量存儲、網(wǎng)格計算與云計算、高速網(wǎng)絡(luò)、網(wǎng)絡(luò)安全等高能物理相關(guān)的計算技術(shù)研究，是中國目前隊伍最為齊全，技術(shù)力量最為雄厚的高能物理計算中心。除了提供高性能計算服務(wù)之外，計算中心還負責高能所的科研信息化建設(shè)，為科研管理等提供信息化系統(tǒng)和服務(wù)支撐。計算中心被國際評估專家評為國內(nèi)領(lǐng)先水平并具有國際影響力的計算中心。計算中心基礎(chǔ)科研設(shè)施包括計算機及網(wǎng)絡(luò)機房環(huán)境，網(wǎng)絡(luò)設(shè)備、計算資源、存儲資源。所有資源均用于提供為科研及管理提供計算及網(wǎng)絡(luò)服務(wù)。對于錯綜復(fù)雜的網(wǎng)絡(luò)環(huán)境，必然會存在大量的風險，這些風險既包括內(nèi)部風險也有來自外部的攻擊行為。為了應(yīng)對這些安全行為，保證網(wǎng)絡(luò)服務(wù)的安全性，大量的防火墻、IDS/IPS、漏洞掃描系統(tǒng)及各種防病毒軟件被部署應(yīng)用，這種方法雖然可以起到一定的作用，但也帶來了巨大的問題，多種安全措施給網(wǎng)絡(luò)環(huán)境帶來了巨大的復(fù)雜性，不便于管理。集成安全管理系統(tǒng)將現(xiàn)有的多種安全工具有機的聯(lián)合起來，協(xié)同工作，通過對各種安全事件的分析，可以有效的了解網(wǎng)絡(luò)安全狀況。包括各種網(wǎng)絡(luò)攻擊的發(fā)生頻率和規(guī)模、攻擊事件的嚴重性等。

.......

 

總結(jié)

 

本文首先對目前網(wǎng)絡(luò)安全技術(shù)進行了介紹，并對入侵檢測技術(shù)、漏洞掃描流分析等常用的技術(shù)進行了逐一介紹，分析了其優(yōu)勢與不足之處。在此基礎(chǔ)上，針對目前網(wǎng)絡(luò)安全現(xiàn)狀與需求，提出了集成式安全系統(tǒng)的必要性。集成安全管理系統(tǒng)的目的在于把當今一些流行的安全工具進行融合，充分利用各個工具的優(yōu)勢，從而對網(wǎng)絡(luò)進行更加全面的、多方位的防護。為了講這些工具進行有效的融合，必須采取一種好的方法，本文設(shè)計與實現(xiàn)了關(guān)聯(lián)引擎，通過關(guān)聯(lián)引擎可以對各種工具產(chǎn)生的數(shù)據(jù)進行關(guān)聯(lián)從而獲取更加精準的報警信息以及進行網(wǎng)絡(luò)風險評估。由于各種安全工具產(chǎn)生的數(shù)據(jù)沒有統(tǒng)一規(guī)范，因此設(shè)計與實現(xiàn)了數(shù)據(jù)標準化功能，對各種類型的數(shù)據(jù)進行統(tǒng)一的標準化處理后在發(fā)送到關(guān)聯(lián)引擎進行分析。然后對關(guān)聯(lián)引擎進行了測試，驗證了關(guān)聯(lián)引擎的有效性。最后設(shè)計了系統(tǒng)的部署方案，并對其進行了部署與配置。對系統(tǒng)中的主要功能進行了實現(xiàn)，驗證了其有效性。

..........

參考文獻（略）