一種網絡安全設備監測的安全事件分析方法與流程
2023-06-01 05:39:22 3
本發明屬於計算機信息安全技術領域, 特別是涉及一種面向電子政務內網的綜合網絡監測的安全事件分析方法。
背景技術:
隨著電子政務內網的規模日漸龐大,對網絡進行全面監控、保障信息安全的工作日益複雜。為了能夠真正做到全面感知內網發生的情況,尤其是安全狀況,相關管理部門採用了眾多網絡管理工具對網絡進行監控與管理。
對於目前實施保護的重要信息系統均藉助多種類多廠商安全設備,這些設備與被保護對象共同構成多源異構高並發數據環境。為了有效地完成對數據環境的安全感知,需要一種通用事件採集設備,對採集事件知識化與體系化。
在網絡監測的應用場景裡,網絡安全管理工具會直接或者間接地藉助各類網絡安全設備,通過綜合各方面採集得到的日誌信息,管理員能夠充分理解網絡安全態勢。
目前,網絡安全監管存在一定的問題。其中,最關鍵的是如何理解採集的日誌信息集合。針對不同廠商的不同設備,如何衡量日誌信息的信息量與內容是理解網絡安全態勢的基礎。
另外,針對電子政務內網的應用場景,如何針對重要事件進行分類缺乏有效規範及技術實現方案。
技術實現要素:
本發明的目的在於提供一種適用於網絡安全設備監測的安全事件分析方法,從而滿足對網絡中採集日誌信息的高效融合的要求,進而解釋網絡中發生的各種態勢。
本發明解決其技術問題所採用的技術方案是:一種網絡安全設備監測的安全事件分析方法,包括如下步驟
a),日誌的識別
根據日誌報文中某個關鍵字,辨別該日誌報文是應用日誌、系統日誌、還是安全日誌;所述的應用日誌為安全設備與其系統的主要功能組件對外提供服務所產生的日誌;所述的系統日誌為安全設備與其系統的硬/軟部件、組件的狀態發生改變所產生的日誌,包括系統更新,硬/軟部件、組件的開啟、關閉、不可用或發生故障等所產生的日誌;所述的安全日誌為安全設備在其系統自身的安全機制運行中產生的日誌,以及管理員登入、登出系統、進行系統配置管理、進行授權管理所產生的日誌;
b),日誌的分類
將上述日誌分成普通事件、異常事件和安全事件;所述的普通事件代表正常的網絡記錄;所述的異常事件代表違反網絡管理規則或者明顯與正常行為存在差異的事件;所述的安全事件代表通過網絡安全設備或者其它技術手段捕獲到網絡中危害信息安全與系統安全的事件;
c),異常事件的轉化
從普通事件的集合中通過異常識別方法尋找出異常事件,將找到的異常事件與從網絡中直接搜集到的異常事件組成異常事件的集合,即將所有異常事件以規格化的方式存放在一起;
d),安全事件的轉化
從異常事件的集合中通過識別違規操作行為和威脅行為尋找出安全事件,即可將找到的安全事件與從網絡直接搜集到的安全事件組成安全事件的集合。
進一步,所述的步驟b)中,計算機設備在運行過程中產生的正常性能採樣點數據被分類為普通事件,產生的異常性能採樣點數據被分類為異常事件。
進一步,所述的步驟b)中,計算機設備在運行過程中將產生的正常流量採樣點數據被分類為普通事件,產生的異常流量採樣點數據被分類為異常事件。
進一步,所述步驟d)中的安全事件的集合由直接取證過程與間接取證過程得到的結果集合組成;所述的間接取證過程為通過威脅行為模型與違規操作行為模型進行安全事件識別的過程,所述的安全事件間接取證部分包括異常事件集合與安全事件集合的交集部分;所述的直接取證過程為直接從網絡安全設備中讀取安全事件的過程。
所述的一種網絡安全設備監測的安全事件分析方法,其安全設備包括入侵檢測類設備、病毒檢測類設備、防火牆類設備、安全審計類設備、計算機及網絡設備。
進一步,所述的入侵檢測類設備包括網絡IDS、主機IDS和IPS。
進一步,所述的病毒檢測類設備包括防毒牆和病毒掃描主機。
進一步,所述的防火牆類設備包括軟硬體防火牆、單一主機防火牆、路由器集成防火牆和分布式防火牆。
進一步,所述的安全審計類設備包括統一用戶管理模塊、統一授權管理模塊、統一訪問控制管理摸、主機監控審計模塊、網絡行為審計模塊和資料庫審計。
進一步,所述的計算機及網絡設備包括Windows伺服器、Linux伺服器和三層交換機。
本發明的有益效果是:通過識別網絡環境中各類設備產生的日誌,用事件詳細分類解釋網絡狀況,針對所有事件集合,明確地給出了事件的詳細分類情況,便於管理人員理解網絡中實時發生的事件狀態,對網絡中各類事態有通用的衡量標準;對納入事件體系的事態有進一步量化的基礎;事件體系的動態性能彌補安全監管過程中被管理員忽視的重要安全事實;具體詳細的事件分類易於完成信息的識別。
附圖說明
圖1為本發明事件體系動態調整過程;
圖2為本發明各事件集合間的關係;
圖3為本發明異常事件集合與安全事件集合的關係;
圖4為本發明普通事件的集合;
圖5為本發明異常事件的集合;
圖6為本發明威脅行為的分類;
圖7為本發明違規操作行為的分類;
圖8為本發明安全事件的集合。
具體實施方式
下面結合附圖對本發明作進一步詳細說明。
參照圖1所示,本發明公開了一種面向電子政務內網、適用於網絡安全監測的事件分析方法,其基本適用環境中,應該包括以下安全設備:
(1)入侵檢測類設備,包括網絡IDS(入侵檢測系統)、主機IDS、IPS等設備。
(2)病毒檢測類設備,包括防毒牆、主機病毒掃描等。
(3)防火牆類設備,包括軟硬體防火牆、單一主機防火牆、路由器集成防火牆、分布式防火牆等。
(4)安全審計類設備,包括統一用戶管理、統一授權管理、統一訪問控制管理、主機監控審計、網絡行為審計、資料庫審計等。
(5)計算機及網絡設備,包括Windows伺服器、Linux伺服器、三層交換機等。
上述提到的設備類型均能夠產生以下三類日誌:
(1)應用日誌:安全設備與系統的主要功能組件對外提供服務所產生的日誌。
(2)系統日誌:安全設備與系統的硬/軟部件、組件的狀態發生改變所產生的日誌,包括系統更新,硬/軟部件、組件的開啟、關閉、不可用或發生故障等所產生的日誌。計算機設備在運行過程中將會產生系統日誌。系統日誌根據異常識別模型(異常識別模型是為了檢測安全設備工作產生的日誌是否違背正常工作狀態而設計的模型。該模型根據實際需求可以簡化,例如利用關鍵字識別異常日誌,也可以用學術界討論中的複雜模型)分為正常的系統日誌和異常系統日誌。
(3)安全日誌:安全設備與系統自身的安全機制運行中產生的日誌,以及管理員登入、登出系統,進行系統配置管理,進行授權管理所產生的日誌。
以上五類安全設備共產生十五種不同類型的日誌。
其中,系統日誌根據異常識別模型分為正常的系統日誌和異常系統日誌。
同時,計算機設備在運行過程中將產生性能數據。根據性能異常識別模型分為異常狀態與正常狀態,其中正常性能採樣點數據(當該時間點被異常識別模型識別為正常的時候,在該時間點與主機性能相關的數值將被記錄下來,作為事件,下同)被分類為普通事件,異常性能採樣點數據被分類為異常事件。其中,性能異常識別模型是根據歷史數據或正常狀態下性能狀態,尋找出與正常狀態相差過大的數據。性能異常識別模型能夠很簡單,如設定閾值來判斷異常與否;也能夠用比較複雜的數學模型。
另外,計算機設備在運行過程中將產生流量數據。根據流量異常識別模型分為異常狀態與正常狀態。其中正常流量採樣點數據被分類為普通事件,異常流量採樣點數據被分類為異常事件。
首先,將所有正常的安全日誌合併為一份安全日誌。
然後,各類安全設備的異常日誌合併成一份該類設備的異常日誌,即:入侵檢測類設備的異常系統日誌與異常安全日誌合併成一份入侵檢測設備異常日誌;病毒檢測類設備的異常系統日誌與異常安全日誌合併成一份病毒檢測設備異常日誌;入侵檢測類設備和病毒檢測類設備的應用日誌將直接識別為安全事件;防火牆類設備的異常應用日誌、異常系統日誌和異常安全日誌合併成一份防火牆設備異常日誌;安全審計類設備的異常應用日誌、異常系統日誌和異常安全日誌合併成一份安全審計設備異常日誌。
同理,網絡設備在運行過程中將會產生系統日誌。系統日誌根據異常識別模型分為正常的系統日誌和異常系統日誌。其中,正常的系統日誌劃歸為普通事件,異常系統日誌劃歸為異常事件;同時,網絡設備在運行過程中將產生性能數據。根據性能異常識別模型分為異常狀態與正常狀態,其中正常性能採樣點數據被分類為普通事件,異常性能採樣點數據被分類為異常事件;另外,網絡設備在運行過程中將產生流量數據。根據流量異常識別模型分為異常狀態與正常狀態。其中正常流量採樣點數據被分類為普通事件,異常流量採樣點數據被分類為異常事件。
將上述各類日誌轉化為事件:所有的正常日誌構成的集合稱為事件源,所有異常日誌構成的集合稱為異常事件。從日誌到指標體系的轉化過程便是將上述所有日誌均能夠按照事件體系的結構分成普通事件、異常事件和安全事件,對入侵檢測和病毒檢測所產生的應用日誌直接識別為安全事件。
參照圖2所示,其中1代表所有異常事件的集合。通過威脅行為模型與違規操作行為模型進行安全事件識別的過程被稱為間接取證過程。該過程與直接從網絡安全設備中讀取安全事件的直接取證過程(直接從網絡安全設備中讀取安全事件)相對應。其中,威脅行為模型和為用戶定義違規操作行為模型:如果複雜一點可以由數學建模完成,如果簡單一點可以由網絡管理員指定哪些行為是威脅/違規操作行為。
2代表所有安全事件的集合,由直接取證過程與間接取證過程得到的結果集合組成。異常事件集合中除去通過間接取證的結果集以外,分為異常識別模型處理結果與用戶定義異常。
3代表異常識別模型處理結果集合,包括性能異常模型和流量異常模型識別的結果集合。
4代表通過用戶自定義的閾值或者行為規範識別出的異常事件集合。3與4處於對等的地位。
參照圖3所示,異常事件與安全事件是存在交集的,其中:
異常事件集合∩安全事件集合=違規操作行為集合+威脅行為集合,即異常事件集合與安全事件集合的交集部分構成了安全事件中間接取證部分,而安全事件集合剩餘的即為安全事件中直接取證部分,即:
安全事件集合-(異常事件集合∩安全事件集合)=直接識別的安全事件。
更具體的特例如下:
安全審計類設備所記錄的異常應用日誌均識別為「異常事件->行為異常->違規操作行為」。
所有安全設備記錄的異常系統日誌依據消息來源方式識別為「異常事件->性能與狀態異常」和「異常事件->性能服務告警」。
所有安全設備記錄的異常安全日誌均識別為「異常事件->安全機制執行告警」。
除了從入侵檢測類設備以及病毒檢測類設備直接識別為安全事件的情況外,異常事件中識別為威脅行為的直接轉化為安全事件。
本發明對網絡中各類事態有通用的衡量標準;對納入事件體系的事態有進一步量化的基礎;事件體系的動態性能彌補安全監管過程中被管理員忽視的重要安全事實,將網絡環境中產生的每條日誌(或若干條日誌組成的集合)對應事件體系中的某一類事件,從普通事件的集合中通過異常識別方法尋找出異常事件,該部分異常事件與從網絡中直接搜集到的異常事件組成異常事件的集合,再從異常事件的集合中通過識別違規操作行為和威脅行為尋找出安全事件,該部分安全事件與從網絡直接搜集到的安全事件組成安全事件的集合。識別出威脅行為的異常事件即轉化為安全事件,即從結果判斷,如果有符合威脅行為結果的,也識別為安全事件。
普通事件代表正常的網絡記錄;如圖4所示,它包括身份認證、授權管理、訪問控制和操作行為等。
異常事件是指違反網絡管理規則或者明顯與正常行為存在差異的事件;如圖5所示,它包括性能與狀態異常、流量異常、行為異常、系統服務異常、安全機制執行異常和其他異常日誌;所述的性能與狀態異常按二級分類又包括設備故障和性能故障,而設備故障按三級分類又包括部件故障和設備不可用;所述的行為異常按二級分類又包括威脅行為和違規操作行為。
如圖6所示,所述的威脅行為包括感染、緩衝區溢出漏洞、探測、欺騙、遍歷、並發以及其他行為;其中所述的感染行為又包括病毒、蠕蟲和木馬;其中所述的探測行為又包括包嗅探、埠映射和安全掃描;所述的欺騙行為又包括網絡地址欺騙、物理地址欺騙、域名伺服器欺騙、任務劫持、跨站腳本攻擊、隱藏區操作以及輸入參數欺騙;所述的遍歷行為又包括強力破解、字典攻擊和旋轉門把攻擊;所述的並發行為又包括泛洪攻擊和分布式拒絕服務攻擊。
如圖7所示,所述的違規操作行為包括非法用戶接入、非授權用戶登錄、合法用戶非正常時間段登錄、合法用戶登錄認證重鑑別和鑑別失敗的行為、非授權用戶訪問、授權用戶越權訪問、授權用戶非正常時間點訪問、移動存儲(光電)介質違規輸入/輸出、非法設備接入、設備在非授權區域接入、設備違規外聯以及其他行為。
安全事件是指通過網絡安全設備或者其它技術手段捕獲到網絡中危害信息安全與系統安全的事件;如圖8所示,它包括有害程序事件和網絡攻擊事件,所述的有害程序事件按二級分類又包括計算機病毒事件、蠕蟲事件、特洛伊木馬事件、殭屍網絡事件、混合攻擊程序事件、網頁內嵌惡意代碼事件以及其他有害程序攻擊事件;所述的網絡攻擊事件按二級分類又包括拒絕服務攻擊事件、後門攻擊事件、漏洞攻擊事件、網絡掃描竊聽事件、網絡釣魚事件、幹擾事件以及其他網絡攻擊事件。
通過以上識別過程,承載該方法的採集設備將被保護環境中事件歸一化和標準化,滿足理解環境完成態勢感知的前提條件。
上述實施例僅例示性說明本發明的原理及其功效,以及部分運用的實施例,對於本領域的普通技術人員來說,在不脫離本發明創造構思的前提下,還可以做出若干變形和改進,這些都屬於本發明的保護範圍。