集成网络安全管理系统中关键技术的设计与实现

 

1. 引言

 

1.1 研究背景

近年来，计算机网络得到快速发展，各种产业对于互联网的依赖越来越强。网络用户更是飞速增长，人们的日常生活已离不开网络环境[1]。而网络安全事件层出不穷，给人们的生活乃至整个社会都造成了极大的损失。如 2006 年的“熊猫烧香”肆虐网络，对整个中国的互联网都造成了极大冲击； 2014 年 4 月出现了 OpenSSL 的“心脏出血”漏洞，黑客可以实时获取用户账号和密码，对人们的财产造成了极大的威胁[2]；2014 年 12 月，12306 遭受撞库攻击，10 万多用户数据遭到泄露；在这种情况下，如何有效保障网络的安全性和可靠性成了人们主要关心的问题。从近些年网络安全事件，可以看出如今的黑客攻击、病毒等都不是以往的单一攻击，既有病毒、黑客入侵、也有 DDoS(分布式拒绝服务攻击)，以及路由攻击、口令攻击等多种方式，攻击从客户端、网络直至服务器，遍布网络各个层面[3]。面对如今这种多层次的混合攻击，传统的单一保护方法显得力不从心。因此就需要一种新的解决方案，可以对多种攻击方式做出防御，这种方案就是集成式网络安全解决方案。这种集成方案并不仅仅是简单的把几种功能累加，而是充分利用各种功能的优势，取长补短，从而达到一种更好的效果[4]。并且还可以针对用户具体需求进行定制，根据网络需求进行相应的配置。这样就可以有效的解决目前单一技术很难应对种类繁多的网络异常的问题，保障网络的安全和可靠。目前有许多网络安全产品，如 ossec、snort、nessus 等，然而这些产品都是一个独立的针对某一方面的，彼此之间都没有相关性，数据无法共享，很难对如今复杂的网络环境进行有效的防护。为了进行更加全面的防护，必须要把这些功能进行集成，实现一个集成的安全系统[5]，关联分析技术则是实现集成功能的基础。通过关联引擎可以对多种数据来源进行分析，从而获取真正有意义的数据，有效的利用了网络资源，提高了检测的准确性。同时还可以对整个网络进行实时风险评估，让网络管理人员可以直观的看到当前网络所面临的问题，并快速做出响应。

.........

 

1.2 研究现状

 

1.2.1 国内研究现状

我国信息安全领域这些年也在飞速发展，但由于开始比较晚，在信息安全相关技术和管理等核心技术上和国外还存在一定差距。但国家对于信息安全的重视程度越来越高，所投入的资金和精力也越来越多。中科院韩正平博士所提出的关联分析在网络安全中的应用，通过关联分析算法有效的降低了报警数量，并可以对网络风险进行评估，以让安全管理人员在最短时间内了解安全风险[6]；哈尔滨工程大学的金文进设计了网络安全事件发现与关联分析系统。其中提出了基于攻击图关联分析算法以及基于属性相似度关联分析算法[7]，可以对多种事件进行有效的关联，有效的精简报警，降低误报率；北京邮电大学的杨茜越设计与实现了一种针对网络安全态势分析系统的关联引擎[8]。从各种安全设备的海量数据中关联出真正有价值的数据，消除误报。使得不同层次的用户都能够准确感知网络状态；四川大学的王益风、李涛等人借鉴人体免疫系统，提出了基于人体免疫的网络安全事件风险监测方法[9]，实现了网络系统中抗体的学习机制、克隆选择和生命周期模型；西安交通大学的陈秀真等人，将 IDS 系统与防火墙进行了集成，实现集成化的安全监控平台，通过 IDS 报警信息和网络性能指标对网络安全进行定量威胁评估[10]；哈尔滨工程大学的赵国胜、王慧强等人通过对网络安全态势中各个关键性指标值之间进行关联分析，采用灰色理论的基础上，提出了基于灰色分析的网络可生存性态势评估方法[11]。同时国内的许多安全厂商也开始研究集成安全系统。例如启明星辰的信息安全中心运营系统，在一个平台上进行数据采集、分析、评先评估、界面展示等网络安全管理功能。天融信公司开发的网络安全管理整体解决方案，包含了防火墙、审计系统、IDS、评估系统等。该方案可以实现对网络中各种安全产品进行集中管理和控制。

........

 

2. 集成安全管理系统相关技术介绍

 

随着计算机和网络技术的飞速发展，网络成为了人们进行联系的主要渠道，企业的各种业务也都建立在互联网环境中。但在享受互联网的便捷、高效的同时，却也时刻面临着巨大的风险。据统计，现在全球平均每 20s 就发生一次网络入侵事件，重大安全事件层出不穷，每年因网络安全问题造成的经济损失高达数千亿美元[22]。我们平时所使用的 U 盘、光盘等都可能携带病毒；邮件、网页、下载软件都可能被黑客进行攻击，包括服务器、路由器、网关都会被攻破，我们所处的网络环境时刻面临危险。为此设计了集成安全系统，所谓集成系统也就是把目前市场上主流的一些安全技术进行融合，充分利用各种工具的优势，取长补短。下面将介绍一些其中所用到的关键技术。

 

2.1 关联引擎

关联引擎是集成管理系统中的一个核心部分，主要负责各种数据进行关联分析及风险评估。工作流程如图 2.1 所示：针对不同特点，市场上也出现了几种不同的 IDS 产品，根据检测手段可以分为：基于主机的入侵检测系统(HIDS，Host Based Intrusion Detection System)、基于网络的入侵检测系统(NIDS，Network Intrusion Detection System)、主机和网络混合的入侵检测系统[24]。基于主机的入侵检测系统：HIDS 并不着重系统的外部信息，而主要作用与系统内部状况。HIDS 检测的数据主要是一些日志信息，从日志信息可以发现系统内部的变动痕迹，进而判断是否有异常操作。OSSEC 是如今使用比较广泛的开源 HIDS 系统，通过将 Agent 安装到检测主机上来采集数据，可用于日志分析、完整性检查机 Rootkit 检测。管理员可以根据自己的需要来对配置文件进行修改以适应自己的环境。

........

 

2.2 入侵检测系统

 

2.2.1 入侵检测系统简介

入侵检测系统即 IDS(Intrusion Detection Systems)；IDS 实时监控网络运行状态，从而尽可能的发现网络入侵行为，确保网络资源的安全性、可用性[23]。相比于防火墙，IDS 不会阻断任何网络访问，只是在网络上收集所关心的报文，对收集的报文进行统计、分析，以及异常特征库进行匹配从而发现异常信息。通过对 IDS 系统的部署、配置后，IDS 系统就可以检测网络流量、主机等，一旦发现危险就会及时发出报警信息，从而及时采取对应的措施，并且 IDS 系统的配置、使用也非常简单方便，非专业人士也能很容易进行使用。IDS 系统工作原理如图 2.2 所示。

.......

 

3 系统总体结构分析与设计......12

3.1 系统功能............12

3.2 系统需求分析....13

3.3 系统功能模块总体设计........16

3.4 系统数据库设计..........18

3.5 本章小结............21

4 数据采集模块设计与实现......22

4.1 数据采集功能设计......22

4.2 数据采集模块具体实现........23

4.2.1 主动采集..........23

4.2.2 被动采集..........26

4.2.3 事件标准化处理....... 26

4.2.4 数据采集功能可扩展性..... 27

4.3 本章小结............28

5 关联引擎设计与实现....29

5.1 关联算法............29

5.2 事件序列关联设计......31

5.2.1 关联规则构建............32

5.2.2 关联规则实例............34

5.3 启发式关联设计..........36

5.4 关联引擎的实现..........37

5.5 本章小结............43

 

7. 系统部署与实现

 

本系统最终在中科院高能所计算中心进行部署与实现，下面对系统的部署与实现过程进行详细分析。

 

7.1 系统部署

本系统基于中国科学院高能物理研究所计算中心。计算中心主要负责为高能所大科学工程提供网络支持和服务，负责建设、运行和维护大规模的高性能科学计算和网络环境，是国际高能物理网格计算平台的中国区域中心，同时开展高性能计算、海量存储、网格计算与云计算、高速网络、网络安全等高能物理相关的计算技术研究，是中国目前队伍最为齐全，技术力量最为雄厚的高能物理计算中心。除了提供高性能计算服务之外，计算中心还负责高能所的科研信息化建设，为科研管理等提供信息化系统和服务支撑。计算中心被国际评估专家评为国内领先水平并具有国际影响力的计算中心。计算中心基础科研设施包括计算机及网络机房环境，网络设备、计算资源、存储资源。所有资源均用于提供为科研及管理提供计算及网络服务。对于错综复杂的网络环境，必然会存在大量的风险，这些风险既包括内部风险也有来自外部的攻击行为。为了应对这些安全行为，保证网络服务的安全性，大量的防火墙、IDS/IPS、漏洞扫描系统及各种防病毒软件被部署应用，这种方法虽然可以起到一定的作用，但也带来了巨大的问题，多种安全措施给网络环境带来了巨大的复杂性，不便于管理。集成安全管理系统将现有的多种安全工具有机的联合起来，协同工作，通过对各种安全事件的分析，可以有效的了解网络安全状况。包括各种网络攻击的发生频率和规模、攻击事件的严重性等。

.......

 

总结

 

本文首先对目前网络安全技术进行了介绍，并对入侵检测技术、漏洞扫描流分析等常用的技术进行了逐一介绍，分析了其优势与不足之处。在此基础上，针对目前网络安全现状与需求，提出了集成式安全系统的必要性。集成安全管理系统的目的在于把当今一些流行的安全工具进行融合，充分利用各个工具的优势，从而对网络进行更加全面的、多方位的防护。为了讲这些工具进行有效的融合，必须采取一种好的方法，本文设计与实现了关联引擎，通过关联引擎可以对各种工具产生的数据进行关联从而获取更加精准的报警信息以及进行网络风险评估。由于各种安全工具产生的数据没有统一规范，因此设计与实现了数据标准化功能，对各种类型的数据进行统一的标准化处理后在发送到关联引擎进行分析。然后对关联引擎进行了测试，验证了关联引擎的有效性。最后设计了系统的部署方案，并对其进行了部署与配置。对系统中的主要功能进行了实现，验证了其有效性。

..........

参考文献（略）