謝應(yīng)濤

（西華師范大學(xué)實(shí)驗(yàn)中心，南充　637000）

網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)研究

謝應(yīng)濤

（西華師范大學(xué)實(shí)驗(yàn)中心，南充637000）

0　引言

不同于傳統(tǒng)的計(jì)算機(jī)網(wǎng)絡(luò)安全防御方法，使用防火墻、殺毒軟件以及網(wǎng)絡(luò)安全硬件產(chǎn)品來(lái)防止計(jì)算機(jī)入侵，網(wǎng)絡(luò)安全事件關(guān)聯(lián)方法可以極大地減少處理網(wǎng)絡(luò)安全報(bào)警的人工和金錢(qián)。在以往，處理各類(lèi)安全報(bào)警的方法是由人工來(lái)完成，既浪費(fèi)時(shí)間同時(shí)還不能保證能從大量誤報(bào)警、重復(fù)報(bào)警信息中找到關(guān)鍵的有用信息。歸納起來(lái)，突出的問(wèn)題主要有三點(diǎn)：第一，安全數(shù)據(jù)量大，不容易處理、分析；第二，安全數(shù)據(jù)雜亂無(wú)章，不易整理；第三，安全事件發(fā)生的隨機(jī)性大，不容易歸檔分類(lèi)整理出有價(jià)值的信息。因此，網(wǎng)絡(luò)安全事件的嚴(yán)重后果總是發(fā)生后才能被用戶(hù)察覺(jué)，甚至在發(fā)生后很長(zhǎng)一段時(shí)間內(nèi)仍然不被用戶(hù)發(fā)現(xiàn)。

正因?yàn)檫@些問(wèn)題，對(duì)網(wǎng)絡(luò)安全數(shù)據(jù)進(jìn)行有效的分析，發(fā)現(xiàn)其中隱含可能發(fā)生的網(wǎng)絡(luò)攻擊事件或者入侵漏洞，對(duì)網(wǎng)絡(luò)攻擊的預(yù)防和整個(gè)網(wǎng)絡(luò)的監(jiān)控有著重要的意義。網(wǎng)絡(luò)安全事件關(guān)聯(lián)也可稱(chēng)之為廣義的入侵檢測(cè)，是針對(duì)網(wǎng)絡(luò)安全事件處理中存在的問(wèn)題而提出的一套特定的數(shù)據(jù)關(guān)聯(lián)方法，它將不同空間來(lái)源和不同時(shí)間序列的安全事件與具體的網(wǎng)絡(luò)環(huán)境結(jié)合在一起，通過(guò)分析網(wǎng)絡(luò)安全事件之間以及安全事件與其環(huán)境之間的關(guān)系，來(lái)減少誤報(bào)，彌補(bǔ)漏報(bào)，最終鎖定攻擊,只有這樣才能完善網(wǎng)絡(luò)安全防御體系，確保數(shù)據(jù)交互的安全。

1　研究背景

分析網(wǎng)絡(luò)安全事件關(guān)聯(lián)性的目的是為了通過(guò)現(xiàn)有數(shù)據(jù)預(yù)測(cè)網(wǎng)絡(luò)攻擊，達(dá)到提前預(yù)防，保護(hù)計(jì)算機(jī)不受網(wǎng)絡(luò)攻擊。當(dāng)前研究的方法分別表現(xiàn)在關(guān)聯(lián)分析過(guò)程的不同階段，它們是：報(bào)警事件聚合、報(bào)警事件分類(lèi)、攻擊原因關(guān)聯(lián)分析、風(fēng)險(xiǎn)評(píng)估等。

報(bào)警事件聚合分析目前主要采用根據(jù)安全日志中的各類(lèi)報(bào)警屬性存在共有特征來(lái)計(jì)算分析。在文獻(xiàn)［1］中用手工定義的入侵事件之間概率相似性來(lái)創(chuàng)建安全事件關(guān)聯(lián)分析系統(tǒng),這類(lèi)方法的優(yōu)點(diǎn)是在對(duì)相似報(bào)警進(jìn)行分類(lèi)時(shí)非常有效，能夠高效地合并相似度很大的報(bào)警，但不足在于不能很好找出一類(lèi)報(bào)警中的前后聯(lián)系，并且也不能把屬于不同類(lèi)別但卻有聯(lián)系的報(bào)警事件關(guān)聯(lián)。文獻(xiàn)［2］提出的用關(guān)聯(lián)和聚類(lèi)的方法用于入侵報(bào)警的關(guān)聯(lián)分析，同時(shí)關(guān)心相似性和因果關(guān)系，一定程度上解決了這個(gè)問(wèn)題。

聚合過(guò)程能在很大程度上降低報(bào)警數(shù)量，但不能消除錯(cuò)誤報(bào)警和無(wú)效報(bào)警，而這些不正確的報(bào)警又會(huì)對(duì)后續(xù)的關(guān)聯(lián)分析過(guò)程產(chǎn)生較大的影響［3］。為了得到報(bào)警間的相互關(guān)系，研究提出了一種可以通過(guò)分析攻擊間關(guān)系的方法來(lái)進(jìn)行步驟式關(guān)聯(lián)分析。文獻(xiàn)［4］基于該思想，提出了基于三元組的知識(shí)表示方法，并用關(guān)聯(lián)算法模擬再現(xiàn)了攻擊環(huán)境；文獻(xiàn) ［5］基于該思想完善了MIRADOR系統(tǒng)的安全性。但是，這類(lèi)方法也有其局限性，因果關(guān)系建立復(fù)雜且耗費(fèi)時(shí)間，不適合在關(guān)聯(lián)分析過(guò)程中單獨(dú)使用。因此，又有一些研究利用已掌握的攻擊環(huán)境和已有的數(shù)據(jù)集中挖掘出知識(shí)并進(jìn)行安全事件關(guān)聯(lián)分析，文獻(xiàn)［6］使用該思想提出了專(zhuān)家知識(shí)庫(kù)的構(gòu)建，并在此基礎(chǔ)上進(jìn)行關(guān)聯(lián)分析的方法。除此之外，在文獻(xiàn)［7］中還對(duì)該方法中的規(guī)則生成過(guò)程進(jìn)行了優(yōu)化。

很多研究從統(tǒng)計(jì)學(xué)角度進(jìn)行發(fā)掘，也產(chǎn)生了較多的方法，如文獻(xiàn)［8］利用時(shí)間序列之間的統(tǒng)計(jì)關(guān)系對(duì)安全事件做關(guān)聯(lián)分析；文獻(xiàn)［9］提出了一個(gè)基于人機(jī)交互的知識(shí)發(fā)現(xiàn)的入侵事件關(guān)聯(lián)方法，從安全事件嚴(yán)重程度的分析方面分析；文獻(xiàn)［10］對(duì)分布式入侵檢測(cè)系統(tǒng)中分級(jí)報(bào)警關(guān)聯(lián)技術(shù)進(jìn)行了研究，提出了一種改進(jìn)增量貝葉斯分類(lèi)器的概率關(guān)聯(lián)方法。

盡管做了很多研究，但是網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析方法還缺少一個(gè)系統(tǒng)的延續(xù)性的研究，各種方法都從不同方面做出了嘗試，但是缺少一種開(kāi)創(chuàng)性的方法來(lái)指導(dǎo)整個(gè)體系的創(chuàng)建。

2　關(guān)聯(lián)技術(shù)研究

正因?yàn)閷?duì)網(wǎng)絡(luò)安全關(guān)聯(lián)技術(shù)沒(méi)有一個(gè)整體的分析研究，因此更需要對(duì)網(wǎng)絡(luò)安全事件關(guān)聯(lián)技術(shù)的流程進(jìn)行梳理。首先對(duì)原始報(bào)警數(shù)據(jù)去重與合并，然后進(jìn)行關(guān)聯(lián)分析，這樣才能得到有用的預(yù)判信息?，F(xiàn)階段的研究中，網(wǎng)絡(luò)安全事件可以分為三類(lèi)：基于相似度的關(guān)聯(lián)、基于環(huán)境狀態(tài)的關(guān)聯(lián)以及基于因果關(guān)系的關(guān)聯(lián)。

2.1基于相似度的關(guān)聯(lián)

此類(lèi)關(guān)聯(lián)通常假設(shè)認(rèn)定相關(guān)報(bào)警在屬性上具有一定程度的相似性。此假設(shè)可以從現(xiàn)實(shí)中的攻擊事件的還原分析中得到證明。文獻(xiàn)［11］提出了利用概率統(tǒng)計(jì)的方法來(lái)計(jì)算攻擊特征中相關(guān)屬性之間的相似度；文獻(xiàn)［12］使用的則是模擬退火算法，使用聚類(lèi)分析來(lái)處理報(bào)警之間距離關(guān)系來(lái)判定相似度；文獻(xiàn)［13］提出的基于自定義的報(bào)警間距離的方法，用概率的方法定義了報(bào)警間距離，然后將相近的報(bào)警聚成一類(lèi)；文獻(xiàn)［14］結(jié)合人工智能的思想，采用模糊認(rèn)知映射圖，鏈接到入侵?jǐn)?shù)據(jù)融合中，認(rèn)為安全事件之間的松散關(guān)系也在有序集合中，衡量有序關(guān)系同樣采用基于概率的方法。歸納起來(lái)，基于屬性的相似度計(jì)算可以分為兩類(lèi)：基于屬性類(lèi)別和基于各屬性相似度。屬性類(lèi)別需要從安全事件中通過(guò)分類(lèi)器獲取，獲取的種類(lèi)包括了硬件上的分類(lèi)，攻擊方式的分類(lèi)，攻擊位置及攻擊時(shí)間等信息。屬性相似度根據(jù)特征各有不同，這需要具有一定的報(bào)警事件專(zhuān)家知識(shí)?；谛畔⑾嗨贫鹊挠?jì)算，如在文獻(xiàn)［15］基于時(shí)間而文獻(xiàn)［16］基于IP地址而已。此類(lèi)方法需提前進(jìn)行分類(lèi)規(guī)則設(shè)定，設(shè)定好相似度標(biāo)準(zhǔn)、權(quán)重系數(shù)等，可以較好地處理誤報(bào)警問(wèn)題，且算法實(shí)時(shí)性較好；但這種方式不解釋攻擊的具體內(nèi)容，不能了解攻擊范圍和強(qiáng)度，不能有效關(guān)聯(lián)攻擊報(bào)警之間的時(shí)序關(guān)系和因果關(guān)系，難以識(shí)別復(fù)雜背景下的攻擊，且屬性相似度的計(jì)算以及各屬性間的系數(shù)分配很大程度上依賴(lài)于各個(gè)環(huán)境中的專(zhuān)業(yè)知識(shí)，依賴(lài)度大，因此跨平臺(tái)效果不佳。

2.2基于環(huán)境狀態(tài)的關(guān)聯(lián)

此類(lèi)基于攻擊環(huán)境狀態(tài)的關(guān)聯(lián)將入侵過(guò)程描述為攻擊環(huán)境狀態(tài)，攻擊環(huán)境狀態(tài)分為：探測(cè)階段、嘗試階段、更改權(quán)限階段、展開(kāi)攻擊階段、拒絕服務(wù)階段。其具體原理是根據(jù)人的分析來(lái)制定規(guī)則，機(jī)器學(xué)習(xí)規(guī)則后模擬整個(gè)環(huán)境狀態(tài)［17］。文獻(xiàn)［18］通過(guò)機(jī)器學(xué)習(xí)的方法來(lái)訓(xùn)練包含已知入侵環(huán)境狀態(tài)的數(shù)據(jù)集來(lái)模擬報(bào)警關(guān)聯(lián)模型。但是這類(lèi)方法的缺點(diǎn)在于需要在每一種環(huán)境狀態(tài)中進(jìn)行訓(xùn)練，而且結(jié)果模型可能對(duì)訓(xùn)練數(shù)據(jù)集的依賴(lài)性比較大，如果沒(méi)有出現(xiàn)在訓(xùn)練集中的攻擊環(huán)境狀態(tài)有可能被忽視。

在早期也有一種攻擊圖方法，在安全分析中考慮了網(wǎng)站本身構(gòu)成的拓?fù)浣Y(jié)構(gòu)。用攻擊模板描述一致的攻擊行為，然后通過(guò)已有的攻擊模板，從目標(biāo)狀態(tài)逆向生成系統(tǒng)的攻擊圖，生成成功則表明系統(tǒng)存在脆弱性，反之則安全。

2.3基于因果關(guān)系的關(guān)聯(lián)

這類(lèi)方法基于因果關(guān)系而設(shè)計(jì)，使用攻擊前提條件和后續(xù)結(jié)果來(lái)關(guān)聯(lián)安全信息攻擊數(shù)據(jù)，從中找到因果關(guān)系給出有用的報(bào)警信息。其具體思路是：尋找一個(gè)攻擊X開(kāi)始的先決條件和攻擊事件Y作為攻擊結(jié)果，分析它們之間是否存在邏輯聯(lián)系，如果存在，則X和Y就可能是一個(gè)系列攻擊的兩個(gè)環(huán)節(jié)。文獻(xiàn)［19］中事先定義了各種攻擊可能發(fā)生的原因和結(jié)果之間聯(lián)系的知識(shí)庫(kù)，通過(guò)對(duì)報(bào)警實(shí)例之間前因和后果的匹配，形成報(bào)警關(guān)聯(lián)圖。有了對(duì)攻擊的先決條件和攻擊后果的詳細(xì)描述，關(guān)聯(lián)的過(guò)程就相對(duì)容易得多。但是這類(lèi)方法的缺點(diǎn)也是明顯的：因果關(guān)系復(fù)雜，要建立知識(shí)庫(kù)還沒(méi)有比較完善的解決方案，運(yùn)行中耗費(fèi)資源大，需要對(duì)各個(gè)因果關(guān)系進(jìn)行匹配。

3　結(jié)語(yǔ)

在經(jīng)濟(jì)信息化高速發(fā)展的今天，網(wǎng)絡(luò)安全直接關(guān)系著國(guó)家和社會(huì)以及每個(gè)人的切身利益。隨著網(wǎng)絡(luò)技術(shù)的快速發(fā)展，針對(duì)國(guó)家及個(gè)人的網(wǎng)絡(luò)安全攻擊呈現(xiàn)了分布化、集群化、復(fù)雜化等趨勢(shì)發(fā)展。因此急切需要研究多方面的網(wǎng)絡(luò)安全技術(shù)針對(duì)這些危害，不僅能做出補(bǔ)救而且還能提前預(yù)防與分析。面對(duì)錯(cuò)綜復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題，及時(shí)對(duì)安全狀態(tài)進(jìn)行捕獲和分析，發(fā)掘出隱含的變化事態(tài)，找到整個(gè)網(wǎng)絡(luò)中宏觀(guān)存在的問(wèn)題正是網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析的主要任務(wù)。本文介紹了網(wǎng)絡(luò)安全事件關(guān)聯(lián)技術(shù)并提出了現(xiàn)有存在的問(wèn)題：基于各種模型或者算法的關(guān)聯(lián)方法本身還不完善，具體的問(wèn)題有：算法效率的性?xún)r(jià)比問(wèn)題，關(guān)聯(lián)技術(shù)的準(zhǔn)確度問(wèn)題，適用范圍等問(wèn)題都有待于改進(jìn)完善；另外一個(gè)比較重要的問(wèn)題是，大部分的研究還處于實(shí)驗(yàn)室階段，大規(guī)模的商業(yè)化應(yīng)用還需要走很長(zhǎng)的一段路。

［1］D.Andersson,M.Fong,A.Valdes.Heterogeneous Sensor Correlation:A Case Study of Live Traffic Analysis.Presented at Third Ann. IEEE Information Assurance Workshop,June,2002：1～12

［2］H.a.W.Debar,A..Aggregation and Correlation of Intrusion-Detection Alerts，2001:87～105

［3］S.T.Eckmann,G.Vigna,R.A.Kemmerer.STATL:An Attack Language for State-based Intrusion Detection.J.of Computer Security, 10（1/2），2002:71～104

［4］P.Ning,Y.Cui,D.S.Reeves.Analyzing Intensive Intrusion Alerts Via Correlation.Presented at Recent Advances in Intrusion Detection.5th International Symposium,RAID 2002.Proceedings,16-18 Oct.2002,Zurich,Switzerland,2002:74～94

［5］F.Cuppens，R.Ortalo.LAMBDA:a Language to Model a Database for Detection of Attacks.Toulouse,France,2000:197～216

［6］J.L.Hellerstein,S.Ma,C.-S.Perng.Discovering Actionable Patterns in Event Data.IBM Systems Journal,vol.41,2002:475～493

［7］C.Araujo,A.Biazetti,A.Bussani,J.Dinger,M.Feridun,A.Tanner.Simplifying Correlation Rule Creation for Effective Systems Monitoring.Presented at Utility Computing.15th IFIP/IEEE International Workshop on Distributed Systems:Operations and Management, DSOM 2004.Proceedings,15-17 Nov.2004,Davis,CA,USA,2004:266～268

［8］李家春,李之棠.神經(jīng)模糊入侵檢測(cè)系統(tǒng)的研究.計(jì)算機(jī)工程與應(yīng)用，2001，37：37～38

［9］李輝,韓崇昭,鄭慶華,昝鑫.一種基于交互式知識(shí)發(fā)現(xiàn)的入侵事件關(guān)聯(lián)方法研究.計(jì)算機(jī)研究與發(fā)展,2004:11,2004:1911～1918

［10］L.Z.-t.Li Jia-chun.Novel Model for Intrusion Detection.Wuhan University Journal of Natural Sciences,2003,:8：46～50

［11］KRUGEL C，TOTH T，KERER C．Decentralized Event Correlation for Intrusion Detection．4th Intemational Conference on Information Security and Cryptology（ICISC），2001：114～13 1P University，Department of Computer Science，2001

［12］P,Ning，Yun Cui．An Intrusion Alert Correlator Based on Prerequisites of Intrusions．Technical Report TR-2002-01，North Carolina State University，Department of Computer Science，2002

［13］Christopher Alberts，Audrey Dorofee，James Stevens，Carol Woody．Introduction to the OCTAVE Approach．Carnegie Mellon Software Engineering Institute．August 2003．http://www．cert．org/octave/approach_Intro.pdf

［14］P A Porras，M W Fong and A Valdes．A Mission-Impact-Based Approach to INFOSEC Alarm Correlation．RAID．Spring Verlag，October 2002:95～114

［15］Desai N．IDS Correlation of VA Data and IDS Alerts.http://www.securityfocus.com/infocus/1708,2003

［16］Ron Gula.Correlating IDS Alerts with Vulnerability Information.TENABLE Network Security Inc.,2007

［17］AlienVault LLC.http://www.alienvault.com/［EB/OL］.

［18］JBoss Community.http://www.jboss.org/drools/［EB/OL］.

［19］P.Ning，D.Xu.Hypothesizing and Reasoning about Attacks Missed by Intrusion Detection Systems.ACM Transactions on Information and System Security,591,2004，7，1～34

Network Security；Event Correlation

Research on the Technology of Network Security Event Correlation

XIE Ying-tao
（Experiment Center，China West Normal University，Nanchong637000）

1007-1423（2015）08-0065-04

10.3969/j.issn.1007-1423.2015.08.015

謝應(yīng)濤（1982-），男，四川南充人，碩士，研究方向?yàn)槿藱C(jī)交互、數(shù)據(jù)安全

2015-01-08

2015-02-10

隨著技術(shù)的發(fā)展和社會(huì)發(fā)展對(duì)網(wǎng)絡(luò)依賴(lài)度的增加，網(wǎng)絡(luò)安全事件發(fā)生的頻率較高，網(wǎng)絡(luò)攻擊難以及時(shí)被發(fā)現(xiàn)或預(yù)判。網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)不同于傳統(tǒng)手段，而是通過(guò)關(guān)聯(lián)技術(shù)來(lái)推測(cè)將要發(fā)生的網(wǎng)絡(luò)攻擊，使得網(wǎng)絡(luò)管理人員能夠及早制定出有效的防范對(duì)策而減少損失，甚至可以在攻擊發(fā)生前就將其阻止。主要研究網(wǎng)絡(luò)安全事件關(guān)聯(lián)分析技術(shù)并提出未來(lái)發(fā)展的趨勢(shì)。

網(wǎng)絡(luò)安全；事件關(guān)聯(lián)

Network security events occur very frequently and the network attacks are difficult to be found in time or predicted.Network security event correlation technology differs from traditional software vulnerabilities through patches,intrusion detection and other means to establish security and defense systems,through the network security event correlation techniques to predict the future of network security incidents will occur,and even be able to take appropriate counter-measures in advance,before the attack will not happen of its blocked.Describes the underlying technologies and methods on network security event correlation technology and proposes future development trends.