网络安全事件关联分析技术研究
2015-02-23谢应涛
谢应涛
(西华师范大学实验中心,南充 637000)
网络安全事件关联分析技术研究
谢应涛
(西华师范大学实验中心,南充637000)
0 引言
不同于传统的计算机网络安全防御方法,使用防火墙、杀毒软件以及网络安全硬件产品来防止计算机入侵,网络安全事件关联方法可以极大地减少处理网络安全报警的人工和金钱。在以往,处理各类安全报警的方法是由人工来完成,既浪费时间同时还不能保证能从大量误报警、重复报警信息中找到关键的有用信息。归纳起来,突出的问题主要有三点:第一,安全数据量大,不容易处理、分析;第二,安全数据杂乱无章,不易整理;第三,安全事件发生的随机性大,不容易归档分类整理出有价值的信息。因此,网络安全事件的严重后果总是发生后才能被用户察觉,甚至在发生后很长一段时间内仍然不被用户发现。
正因为这些问题,对网络安全数据进行有效的分析,发现其中隐含可能发生的网络攻击事件或者入侵漏洞,对网络攻击的预防和整个网络的监控有着重要的意义。网络安全事件关联也可称之为广义的入侵检测,是针对网络安全事件处理中存在的问题而提出的一套特定的数据关联方法,它将不同空间来源和不同时间序列的安全事件与具体的网络环境结合在一起,通过分析网络安全事件之间以及安全事件与其环境之间的关系,来减少误报,弥补漏报,最终锁定攻击,只有这样才能完善网络安全防御体系,确保数据交互的安全。
1 研究背景
分析网络安全事件关联性的目的是为了通过现有数据预测网络攻击,达到提前预防,保护计算机不受网络攻击。当前研究的方法分别表现在关联分析过程的不同阶段,它们是:报警事件聚合、报警事件分类、攻击原因关联分析、风险评估等。
报警事件聚合分析目前主要采用根据安全日志中的各类报警属性存在共有特征来计算分析。在文献[1]中用手工定义的入侵事件之间概率相似性来创建安全事件关联分析系统,这类方法的优点是在对相似报警进行分类时非常有效,能够高效地合并相似度很大的报警,但不足在于不能很好找出一类报警中的前后联系,并且也不能把属于不同类别但却有联系的报警事件关联。文献[2]提出的用关联和聚类的方法用于入侵报警的关联分析,同时关心相似性和因果关系,一定程度上解决了这个问题。
聚合过程能在很大程度上降低报警数量,但不能消除错误报警和无效报警,而这些不正确的报警又会对后续的关联分析过程产生较大的影响[3]。为了得到报警间的相互关系,研究提出了一种可以通过分析攻击间关系的方法来进行步骤式关联分析。文献[4]基于该思想,提出了基于三元组的知识表示方法,并用关联算法模拟再现了攻击环境;文献 [5]基于该思想完善了MIRADOR系统的安全性。但是,这类方法也有其局限性,因果关系建立复杂且耗费时间,不适合在关联分析过程中单独使用。因此,又有一些研究利用已掌握的攻击环境和已有的数据集中挖掘出知识并进行安全事件关联分析,文献[6]使用该思想提出了专家知识库的构建,并在此基础上进行关联分析的方法。除此之外,在文献[7]中还对该方法中的规则生成过程进行了优化。
很多研究从统计学角度进行发掘,也产生了较多的方法,如文献[8]利用时间序列之间的统计关系对安全事件做关联分析;文献[9]提出了一个基于人机交互的知识发现的入侵事件关联方法,从安全事件严重程度的分析方面分析;文献[10]对分布式入侵检测系统中分级报警关联技术进行了研究,提出了一种改进增量贝叶斯分类器的概率关联方法。
尽管做了很多研究,但是网络安全事件关联分析方法还缺少一个系统的延续性的研究,各种方法都从不同方面做出了尝试,但是缺少一种开创性的方法来指导整个体系的创建。
2 关联技术研究
正因为对网络安全关联技术没有一个整体的分析研究,因此更需要对网络安全事件关联技术的流程进行梳理。首先对原始报警数据去重与合并,然后进行关联分析,这样才能得到有用的预判信息。现阶段的研究中,网络安全事件可以分为三类:基于相似度的关联、基于环境状态的关联以及基于因果关系的关联。
2.1基于相似度的关联
此类关联通常假设认定相关报警在属性上具有一定程度的相似性。此假设可以从现实中的攻击事件的还原分析中得到证明。文献[11]提出了利用概率统计的方法来计算攻击特征中相关属性之间的相似度;文献[12]使用的则是模拟退火算法,使用聚类分析来处理报警之间距离关系来判定相似度;文献[13]提出的基于自定义的报警间距离的方法,用概率的方法定义了报警间距离,然后将相近的报警聚成一类;文献[14]结合人工智能的思想,采用模糊认知映射图,链接到入侵数据融合中,认为安全事件之间的松散关系也在有序集合中,衡量有序关系同样采用基于概率的方法。归纳起来,基于属性的相似度计算可以分为两类:基于属性类别和基于各属性相似度。属性类别需要从安全事件中通过分类器获取,获取的种类包括了硬件上的分类,攻击方式的分类,攻击位置及攻击时间等信息。属性相似度根据特征各有不同,这需要具有一定的报警事件专家知识。基于信息相似度的计算,如在文献[15]基于时间而文献[16]基于IP地址而已。此类方法需提前进行分类规则设定,设定好相似度标准、权重系数等,可以较好地处理误报警问题,且算法实时性较好;但这种方式不解释攻击的具体内容,不能了解攻击范围和强度,不能有效关联攻击报警之间的时序关系和因果关系,难以识别复杂背景下的攻击,且属性相似度的计算以及各属性间的系数分配很大程度上依赖于各个环境中的专业知识,依赖度大,因此跨平台效果不佳。
2.2基于环境状态的关联
此类基于攻击环境状态的关联将入侵过程描述为攻击环境状态,攻击环境状态分为:探测阶段、尝试阶段、更改权限阶段、展开攻击阶段、拒绝服务阶段。其具体原理是根据人的分析来制定规则,机器学习规则后模拟整个环境状态[17]。文献[18]通过机器学习的方法来训练包含已知入侵环境状态的数据集来模拟报警关联模型。但是这类方法的缺点在于需要在每一种环境状态中进行训练,而且结果模型可能对训练数据集的依赖性比较大,如果没有出现在训练集中的攻击环境状态有可能被忽视。
在早期也有一种攻击图方法,在安全分析中考虑了网站本身构成的拓扑结构。用攻击模板描述一致的攻击行为,然后通过已有的攻击模板,从目标状态逆向生成系统的攻击图,生成成功则表明系统存在脆弱性,反之则安全。
2.3基于因果关系的关联
这类方法基于因果关系而设计,使用攻击前提条件和后续结果来关联安全信息攻击数据,从中找到因果关系给出有用的报警信息。其具体思路是:寻找一个攻击X开始的先决条件和攻击事件Y作为攻击结果,分析它们之间是否存在逻辑联系,如果存在,则X和Y就可能是一个系列攻击的两个环节。文献[19]中事先定义了各种攻击可能发生的原因和结果之间联系的知识库,通过对报警实例之间前因和后果的匹配,形成报警关联图。有了对攻击的先决条件和攻击后果的详细描述,关联的过程就相对容易得多。但是这类方法的缺点也是明显的:因果关系复杂,要建立知识库还没有比较完善的解决方案,运行中耗费资源大,需要对各个因果关系进行匹配。
3 结语
在经济信息化高速发展的今天,网络安全直接关系着国家和社会以及每个人的切身利益。随着网络技术的快速发展,针对国家及个人的网络安全攻击呈现了分布化、集群化、复杂化等趋势发展。因此急切需要研究多方面的网络安全技术针对这些危害,不仅能做出补救而且还能提前预防与分析。面对错综复杂的网络安全问题,及时对安全状态进行捕获和分析,发掘出隐含的变化事态,找到整个网络中宏观存在的问题正是网络安全事件关联分析的主要任务。本文介绍了网络安全事件关联技术并提出了现有存在的问题:基于各种模型或者算法的关联方法本身还不完善,具体的问题有:算法效率的性价比问题,关联技术的准确度问题,适用范围等问题都有待于改进完善;另外一个比较重要的问题是,大部分的研究还处于实验室阶段,大规模的商业化应用还需要走很长的一段路。
[1]D.Andersson,M.Fong,A.Valdes.Heterogeneous Sensor Correlation:A Case Study of Live Traffic Analysis.Presented at Third Ann. IEEE Information Assurance Workshop,June,2002:1~12
[2]H.a.W.Debar,A..Aggregation and Correlation of Intrusion-Detection Alerts,2001:87~105
[3]S.T.Eckmann,G.Vigna,R.A.Kemmerer.STATL:An Attack Language for State-based Intrusion Detection.J.of Computer Security, 10(1/2),2002:71~104
[4]P.Ning,Y.Cui,D.S.Reeves.Analyzing Intensive Intrusion Alerts Via Correlation.Presented at Recent Advances in Intrusion Detection.5th International Symposium,RAID 2002.Proceedings,16-18 Oct.2002,Zurich,Switzerland,2002:74~94
[5]F.Cuppens,R.Ortalo.LAMBDA:a Language to Model a Database for Detection of Attacks.Toulouse,France,2000:197~216
[6]J.L.Hellerstein,S.Ma,C.-S.Perng.Discovering Actionable Patterns in Event Data.IBM Systems Journal,vol.41,2002:475~493
[7]C.Araujo,A.Biazetti,A.Bussani,J.Dinger,M.Feridun,A.Tanner.Simplifying Correlation Rule Creation for Effective Systems Monitoring.Presented at Utility Computing.15th IFIP/IEEE International Workshop on Distributed Systems:Operations and Management, DSOM 2004.Proceedings,15-17 Nov.2004,Davis,CA,USA,2004:266~268
[8]李家春,李之棠.神经模糊入侵检测系统的研究.计算机工程与应用,2001,37:37~38
[9]李辉,韩崇昭,郑庆华,昝鑫.一种基于交互式知识发现的入侵事件关联方法研究.计算机研究与发展,2004:11,2004:1911~1918
[10]L.Z.-t.Li Jia-chun.Novel Model for Intrusion Detection.Wuhan University Journal of Natural Sciences,2003,:8:46~50
[11]KRUGEL C,TOTH T,KERER C.Decentralized Event Correlation for Intrusion Detection.4th Intemational Conference on Information Security and Cryptology(ICISC),2001:114~13 1P University,Department of Computer Science,2001
[12]P,Ning,Yun Cui.An Intrusion Alert Correlator Based on Prerequisites of Intrusions.Technical Report TR-2002-01,North Carolina State University,Department of Computer Science,2002
[13]Christopher Alberts,Audrey Dorofee,James Stevens,Carol Woody.Introduction to the OCTAVE Approach.Carnegie Mellon Software Engineering Institute.August 2003.http://www.cert.org/octave/approach_Intro.pdf
[14]P A Porras,M W Fong and A Valdes.A Mission-Impact-Based Approach to INFOSEC Alarm Correlation.RAID.Spring Verlag,October 2002:95~114
[15]Desai N.IDS Correlation of VA Data and IDS Alerts.http://www.securityfocus.com/infocus/1708,2003
[16]Ron Gula.Correlating IDS Alerts with Vulnerability Information.TENABLE Network Security Inc.,2007
[17]AlienVault LLC.http://www.alienvault.com/[EB/OL].
[18]JBoss Community.http://www.jboss.org/drools/[EB/OL].
[19]P.Ning,D.Xu.Hypothesizing and Reasoning about Attacks Missed by Intrusion Detection Systems.ACM Transactions on Information and System Security,591,2004,7,1~34
Network Security;Event Correlation
Research on the Technology of Network Security Event Correlation
XIE Ying-tao
(Experiment Center,China West Normal University,Nanchong637000)
1007-1423(2015)08-0065-04
10.3969/j.issn.1007-1423.2015.08.015
谢应涛(1982-),男,四川南充人,硕士,研究方向为人机交互、数据安全
2015-01-08
2015-02-10
随着技术的发展和社会发展对网络依赖度的增加,网络安全事件发生的频率较高,网络攻击难以及时被发现或预判。网络安全事件关联分析技术不同于传统手段,而是通过关联技术来推测将要发生的网络攻击,使得网络管理人员能够及早制定出有效的防范对策而减少损失,甚至可以在攻击发生前就将其阻止。主要研究网络安全事件关联分析技术并提出未来发展的趋势。
网络安全;事件关联
Network security events occur very frequently and the network attacks are difficult to be found in time or predicted.Network security event correlation technology differs from traditional software vulnerabilities through patches,intrusion detection and other means to establish security and defense systems,through the network security event correlation techniques to predict the future of network security incidents will occur,and even be able to take appropriate counter-measures in advance,before the attack will not happen of its blocked.Describes the underlying technologies and methods on network security event correlation technology and proposes future development trends.
