1. 引言

 

1.1 研究背景

近年來(lái)，計(jì)算機(jī)網(wǎng)絡(luò)得到快速發(fā)展，各種產(chǎn)業(yè)對(duì)于互聯(lián)網(wǎng)的依賴(lài)越來(lái)越強(qiáng)。網(wǎng)絡(luò)用戶(hù)更是飛速增長(zhǎng)，人們的日常生活已離不開(kāi)網(wǎng)絡(luò)環(huán)境[1]。而網(wǎng)絡(luò)安全事件層出不窮，給人們的生活乃至整個(gè)社會(huì)都造成了極大的損失。如 2006 年的“熊貓燒香”肆虐網(wǎng)絡(luò)，對(duì)整個(gè)中國(guó)的互聯(lián)網(wǎng)都造成了極大沖擊； 2014 年 4 月出現(xiàn)了 OpenSSL 的“心臟出血”漏洞，黑客可以實(shí)時(shí)獲取用戶(hù)賬號(hào)和密碼，對(duì)人們的財(cái)產(chǎn)造成了極大的威脅[2]；2014 年 12 月，12306 遭受撞庫(kù)攻擊，10 萬(wàn)多用戶(hù)數(shù)據(jù)遭到泄露；在這種情況下，如何有效保障網(wǎng)絡(luò)的安全性和可靠性成了人們主要關(guān)心的問(wèn)題。從近些年網(wǎng)絡(luò)安全事件，可以看出如今的黑客攻擊、病毒等都不是以往的單一攻擊，既有病毒、黑客入侵、也有 DDoS(分布式拒絕服務(wù)攻擊)，以及路由攻擊、口令攻擊等多種方式，攻擊從客戶(hù)端、網(wǎng)絡(luò)直至服務(wù)器，遍布網(wǎng)絡(luò)各個(gè)層面[3]。面對(duì)如今這種多層次的混合攻擊，傳統(tǒng)的單一保護(hù)方法顯得力不從心。因此就需要一種新的解決方案，可以對(duì)多種攻擊方式做出防御，這種方案就是集成式網(wǎng)絡(luò)安全解決方案。這種集成方案并不僅僅是簡(jiǎn)單的把幾種功能累加，而是充分利用各種功能的優(yōu)勢(shì)，取長(zhǎng)補(bǔ)短，從而達(dá)到一種更好的效果[4]。并且還可以針對(duì)用戶(hù)具體需求進(jìn)行定制，根據(jù)網(wǎng)絡(luò)需求進(jìn)行相應(yīng)的配置。這樣就可以有效的解決目前單一技術(shù)很難應(yīng)對(duì)種類(lèi)繁多的網(wǎng)絡(luò)異常的問(wèn)題，保障網(wǎng)絡(luò)的安全和可靠。目前有許多網(wǎng)絡(luò)安全產(chǎn)品，如 ossec、snort、nessus 等，然而這些產(chǎn)品都是一個(gè)獨(dú)立的針對(duì)某一方面的，彼此之間都沒(méi)有相關(guān)性，數(shù)據(jù)無(wú)法共享，很難對(duì)如今復(fù)雜的網(wǎng)絡(luò)環(huán)境進(jìn)行有效的防護(hù)。為了進(jìn)行更加全面的防護(hù)，必須要把這些功能進(jìn)行集成，實(shí)現(xiàn)一個(gè)集成的安全系統(tǒng)[5]，關(guān)聯(lián)分析技術(shù)則是實(shí)現(xiàn)集成功能的基礎(chǔ)。通過(guò)關(guān)聯(lián)引擎可以對(duì)多種數(shù)據(jù)來(lái)源進(jìn)行分析，從而獲取真正有意義的數(shù)據(jù)，有效的利用了網(wǎng)絡(luò)資源，提高了檢測(cè)的準(zhǔn)確性。同時(shí)還可以對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行實(shí)時(shí)風(fēng)險(xiǎn)評(píng)估，讓網(wǎng)絡(luò)管理人員可以直觀(guān)的看到當(dāng)前網(wǎng)絡(luò)所面臨的問(wèn)題，并快速做出響應(yīng)。

.........

 

1.2 研究現(xiàn)狀

 

1.2.1 國(guó)內(nèi)研究現(xiàn)狀

我國(guó)信息安全領(lǐng)域這些年也在飛速發(fā)展，但由于開(kāi)始比較晚，在信息安全相關(guān)技術(shù)和管理等核心技術(shù)上和國(guó)外還存在一定差距。但國(guó)家對(duì)于信息安全的重視程度越來(lái)越高，所投入的資金和精力也越來(lái)越多。中科院韓正平博士所提出的關(guān)聯(lián)分析在網(wǎng)絡(luò)安全中的應(yīng)用，通過(guò)關(guān)聯(lián)分析算法有效的降低了報(bào)警數(shù)量，并可以對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)進(jìn)行評(píng)估，以讓安全管理人員在最短時(shí)間內(nèi)了解安全風(fēng)險(xiǎn)[6]；哈爾濱工程大學(xué)的金文進(jìn)設(shè)計(jì)了網(wǎng)絡(luò)安全事件發(fā)現(xiàn)與關(guān)聯(lián)分析系統(tǒng)。其中提出了基于攻擊圖關(guān)聯(lián)分析算法以及基于屬性相似度關(guān)聯(lián)分析算法[7]，可以對(duì)多種事件進(jìn)行有效的關(guān)聯(lián)，有效的精簡(jiǎn)報(bào)警，降低誤報(bào)率；北京郵電大學(xué)的楊茜越設(shè)計(jì)與實(shí)現(xiàn)了一種針對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)分析系統(tǒng)的關(guān)聯(lián)引擎[8]。從各種安全設(shè)備的海量數(shù)據(jù)中關(guān)聯(lián)出真正有價(jià)值的數(shù)據(jù)，消除誤報(bào)。使得不同層次的用戶(hù)都能夠準(zhǔn)確感知網(wǎng)絡(luò)狀態(tài)；四川大學(xué)的王益風(fēng)、李濤等人借鑒人體免疫系統(tǒng)，提出了基于人體免疫的網(wǎng)絡(luò)安全事件風(fēng)險(xiǎn)監(jiān)測(cè)方法[9]，實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)中抗體的學(xué)習(xí)機(jī)制、克隆選擇和生命周期模型；西安交通大學(xué)的陳秀真等人，將 IDS 系統(tǒng)與防火墻進(jìn)行了集成，實(shí)現(xiàn)集成化的安全監(jiān)控平臺(tái)，通過(guò) IDS 報(bào)警信息和網(wǎng)絡(luò)性能指標(biāo)對(duì)網(wǎng)絡(luò)安全進(jìn)行定量威脅評(píng)估[10]；哈爾濱工程大學(xué)的趙國(guó)勝、王慧強(qiáng)等人通過(guò)對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)中各個(gè)關(guān)鍵性指標(biāo)值之間進(jìn)行關(guān)聯(lián)分析，采用灰色理論的基礎(chǔ)上，提出了基于灰色分析的網(wǎng)絡(luò)可生存性態(tài)勢(shì)評(píng)估方法[11]。同時(shí)國(guó)內(nèi)的許多安全廠(chǎng)商也開(kāi)始研究集成安全系統(tǒng)。例如啟明星辰的信息安全中心運(yùn)營(yíng)系統(tǒng)，在一個(gè)平臺(tái)上進(jìn)行數(shù)據(jù)采集、分析、評(píng)先評(píng)估、界面展示等網(wǎng)絡(luò)安全管理功能。天融信公司開(kāi)發(fā)的網(wǎng)絡(luò)安全管理整體解決方案，包含了防火墻、審計(jì)系統(tǒng)、IDS、評(píng)估系統(tǒng)等。該方案可以實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)中各種安全產(chǎn)品進(jìn)行集中管理和控制。

........

 

2. 集成安全管理系統(tǒng)相關(guān)技術(shù)介紹

 

隨著計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)的飛速發(fā)展，網(wǎng)絡(luò)成為了人們進(jìn)行聯(lián)系的主要渠道，企業(yè)的各種業(yè)務(wù)也都建立在互聯(lián)網(wǎng)環(huán)境中。但在享受互聯(lián)網(wǎng)的便捷、高效的同時(shí)，卻也時(shí)刻面臨著巨大的風(fēng)險(xiǎn)。據(jù)統(tǒng)計(jì)，現(xiàn)在全球平均每 20s 就發(fā)生一次網(wǎng)絡(luò)入侵事件，重大安全事件層出不窮，每年因網(wǎng)絡(luò)安全問(wèn)題造成的經(jīng)濟(jì)損失高達(dá)數(shù)千億美元[22]。我們平時(shí)所使用的 U 盤(pán)、光盤(pán)等都可能攜帶病毒；郵件、網(wǎng)頁(yè)、下載軟件都可能被黑客進(jìn)行攻擊，包括服務(wù)器、路由器、網(wǎng)關(guān)都會(huì)被攻破，我們所處的網(wǎng)絡(luò)環(huán)境時(shí)刻面臨危險(xiǎn)。為此設(shè)計(jì)了集成安全系統(tǒng)，所謂集成系統(tǒng)也就是把目前市場(chǎng)上主流的一些安全技術(shù)進(jìn)行融合，充分利用各種工具的優(yōu)勢(shì)，取長(zhǎng)補(bǔ)短。下面將介紹一些其中所用到的關(guān)鍵技術(shù)。

 

2.1 關(guān)聯(lián)引擎

關(guān)聯(lián)引擎是集成管理系統(tǒng)中的一個(gè)核心部分，主要負(fù)責(zé)各種數(shù)據(jù)進(jìn)行關(guān)聯(lián)分析及風(fēng)險(xiǎn)評(píng)估。工作流程如圖 2.1 所示：針對(duì)不同特點(diǎn)，市場(chǎng)上也出現(xiàn)了幾種不同的 IDS 產(chǎn)品，根據(jù)檢測(cè)手段可以分為：基于主機(jī)的入侵檢測(cè)系統(tǒng)(HIDS，Host Based Intrusion Detection System)、基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)(NIDS，Network Intrusion Detection System)、主機(jī)和網(wǎng)絡(luò)混合的入侵檢測(cè)系統(tǒng)[24]?；谥鳈C(jī)的入侵檢測(cè)系統(tǒng)：HIDS 并不著重系統(tǒng)的外部信息，而主要作用與系統(tǒng)內(nèi)部狀況。HIDS 檢測(cè)的數(shù)據(jù)主要是一些日志信息，從日志信息可以發(fā)現(xiàn)系統(tǒng)內(nèi)部的變動(dòng)痕跡，進(jìn)而判斷是否有異常操作。OSSEC 是如今使用比較廣泛的開(kāi)源 HIDS 系統(tǒng)，通過(guò)將 Agent 安裝到檢測(cè)主機(jī)上來(lái)采集數(shù)據(jù)，可用于日志分析、完整性檢查機(jī) Rootkit 檢測(cè)。管理員可以根據(jù)自己的需要來(lái)對(duì)配置文件進(jìn)行修改以適應(yīng)自己的環(huán)境。

........

 

2.2 入侵檢測(cè)系統(tǒng)

 

2.2.1 入侵檢測(cè)系統(tǒng)簡(jiǎn)介

入侵檢測(cè)系統(tǒng)即 IDS(Intrusion Detection Systems)；IDS 實(shí)時(shí)監(jiān)控網(wǎng)絡(luò)運(yùn)行狀態(tài)，從而盡可能的發(fā)現(xiàn)網(wǎng)絡(luò)入侵行為，確保網(wǎng)絡(luò)資源的安全性、可用性[23]。相比于防火墻，IDS 不會(huì)阻斷任何網(wǎng)絡(luò)訪(fǎng)問(wèn)，只是在網(wǎng)絡(luò)上收集所關(guān)心的報(bào)文，對(duì)收集的報(bào)文進(jìn)行統(tǒng)計(jì)、分析，以及異常特征庫(kù)進(jìn)行匹配從而發(fā)現(xiàn)異常信息。通過(guò)對(duì) IDS 系統(tǒng)的部署、配置后，IDS 系統(tǒng)就可以檢測(cè)網(wǎng)絡(luò)流量、主機(jī)等，一旦發(fā)現(xiàn)危險(xiǎn)就會(huì)及時(shí)發(fā)出報(bào)警信息，從而及時(shí)采取對(duì)應(yīng)的措施，并且 IDS 系統(tǒng)的配置、使用也非常簡(jiǎn)單方便，非專(zhuān)業(yè)人士也能很容易進(jìn)行使用。IDS 系統(tǒng)工作原理如圖 2.2 所示。

.......

 

3 系統(tǒng)總體結(jié)構(gòu)分析與設(shè)計(jì)......12

3.1 系統(tǒng)功能............12

3.2 系統(tǒng)需求分析....13

3.3 系統(tǒng)功能模塊總體設(shè)計(jì)........16

3.4 系統(tǒng)數(shù)據(jù)庫(kù)設(shè)計(jì)..........18

3.5 本章小結(jié)............21

4 數(shù)據(jù)采集模塊設(shè)計(jì)與實(shí)現(xiàn)......22

4.1 數(shù)據(jù)采集功能設(shè)計(jì)......22

4.2 數(shù)據(jù)采集模塊具體實(shí)現(xiàn)........23

4.2.1 主動(dòng)采集..........23

4.2.2 被動(dòng)采集..........26

4.2.3 事件標(biāo)準(zhǔn)化處理....... 26

4.2.4 數(shù)據(jù)采集功能可擴(kuò)展性..... 27

4.3 本章小結(jié)............28

5 關(guān)聯(lián)引擎設(shè)計(jì)與實(shí)現(xiàn)....29

5.1 關(guān)聯(lián)算法............29

5.2 事件序列關(guān)聯(lián)設(shè)計(jì)......31

5.2.1 關(guān)聯(lián)規(guī)則構(gòu)建............32

5.2.2 關(guān)聯(lián)規(guī)則實(shí)例............34

5.3 啟發(fā)式關(guān)聯(lián)設(shè)計(jì)..........36

5.4 關(guān)聯(lián)引擎的實(shí)現(xiàn)..........37

5.5 本章小結(jié)............43

 

7. 系統(tǒng)部署與實(shí)現(xiàn)

 

本系統(tǒng)最終在中科院高能所計(jì)算中心進(jìn)行部署與實(shí)現(xiàn)，下面對(duì)系統(tǒng)的部署與實(shí)現(xiàn)過(guò)程進(jìn)行詳細(xì)分析。

 

7.1 系統(tǒng)部署

本系統(tǒng)基于中國(guó)科學(xué)院高能物理研究所計(jì)算中心。計(jì)算中心主要負(fù)責(zé)為高能所大科學(xué)工程提供網(wǎng)絡(luò)支持和服務(wù)，負(fù)責(zé)建設(shè)、運(yùn)行和維護(hù)大規(guī)模的高性能科學(xué)計(jì)算和網(wǎng)絡(luò)環(huán)境，是國(guó)際高能物理網(wǎng)格計(jì)算平臺(tái)的中國(guó)區(qū)域中心，同時(shí)開(kāi)展高性能計(jì)算、海量存儲(chǔ)、網(wǎng)格計(jì)算與云計(jì)算、高速網(wǎng)絡(luò)、網(wǎng)絡(luò)安全等高能物理相關(guān)的計(jì)算技術(shù)研究，是中國(guó)目前隊(duì)伍最為齊全，技術(shù)力量最為雄厚的高能物理計(jì)算中心。除了提供高性能計(jì)算服務(wù)之外，計(jì)算中心還負(fù)責(zé)高能所的科研信息化建設(shè)，為科研管理等提供信息化系統(tǒng)和服務(wù)支撐。計(jì)算中心被國(guó)際評(píng)估專(zhuān)家評(píng)為國(guó)內(nèi)領(lǐng)先水平并具有國(guó)際影響力的計(jì)算中心。計(jì)算中心基礎(chǔ)科研設(shè)施包括計(jì)算機(jī)及網(wǎng)絡(luò)機(jī)房環(huán)境，網(wǎng)絡(luò)設(shè)備、計(jì)算資源、存儲(chǔ)資源。所有資源均用于提供為科研及管理提供計(jì)算及網(wǎng)絡(luò)服務(wù)。對(duì)于錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)環(huán)境，必然會(huì)存在大量的風(fēng)險(xiǎn)，這些風(fēng)險(xiǎn)既包括內(nèi)部風(fēng)險(xiǎn)也有來(lái)自外部的攻擊行為。為了應(yīng)對(duì)這些安全行為，保證網(wǎng)絡(luò)服務(wù)的安全性，大量的防火墻、IDS/IPS、漏洞掃描系統(tǒng)及各種防病毒軟件被部署應(yīng)用，這種方法雖然可以起到一定的作用，但也帶來(lái)了巨大的問(wèn)題，多種安全措施給網(wǎng)絡(luò)環(huán)境帶來(lái)了巨大的復(fù)雜性，不便于管理。集成安全管理系統(tǒng)將現(xiàn)有的多種安全工具有機(jī)的聯(lián)合起來(lái)，協(xié)同工作，通過(guò)對(duì)各種安全事件的分析，可以有效的了解網(wǎng)絡(luò)安全狀況。包括各種網(wǎng)絡(luò)攻擊的發(fā)生頻率和規(guī)模、攻擊事件的嚴(yán)重性等。

.......

 

總結(jié)

 

本文首先對(duì)目前網(wǎng)絡(luò)安全技術(shù)進(jìn)行了介紹，并對(duì)入侵檢測(cè)技術(shù)、漏洞掃描流分析等常用的技術(shù)進(jìn)行了逐一介紹，分析了其優(yōu)勢(shì)與不足之處。在此基礎(chǔ)上，針對(duì)目前網(wǎng)絡(luò)安全現(xiàn)狀與需求，提出了集成式安全系統(tǒng)的必要性。集成安全管理系統(tǒng)的目的在于把當(dāng)今一些流行的安全工具進(jìn)行融合，充分利用各個(gè)工具的優(yōu)勢(shì)，從而對(duì)網(wǎng)絡(luò)進(jìn)行更加全面的、多方位的防護(hù)。為了講這些工具進(jìn)行有效的融合，必須采取一種好的方法，本文設(shè)計(jì)與實(shí)現(xiàn)了關(guān)聯(lián)引擎，通過(guò)關(guān)聯(lián)引擎可以對(duì)各種工具產(chǎn)生的數(shù)據(jù)進(jìn)行關(guān)聯(lián)從而獲取更加精準(zhǔn)的報(bào)警信息以及進(jìn)行網(wǎng)絡(luò)風(fēng)險(xiǎn)評(píng)估。由于各種安全工具產(chǎn)生的數(shù)據(jù)沒(méi)有統(tǒng)一規(guī)范，因此設(shè)計(jì)與實(shí)現(xiàn)了數(shù)據(jù)標(biāo)準(zhǔn)化功能，對(duì)各種類(lèi)型的數(shù)據(jù)進(jìn)行統(tǒng)一的標(biāo)準(zhǔn)化處理后在發(fā)送到關(guān)聯(lián)引擎進(jìn)行分析。然后對(duì)關(guān)聯(lián)引擎進(jìn)行了測(cè)試，驗(yàn)證了關(guān)聯(lián)引擎的有效性。最后設(shè)計(jì)了系統(tǒng)的部署方案，并對(duì)其進(jìn)行了部署與配置。對(duì)系統(tǒng)中的主要功能進(jìn)行了實(shí)現(xiàn)，驗(yàn)證了其有效性。

..........

參考文獻(xiàn)（略）