面向大规模网络集中安全审计系统关键技术研究.pdf

摘要 在过去的几年中安全技术取得的了长足的发展，涌现出大量安全设备，但是由于缺乏统 一的业界标准，难于实现设备的统一管理，设备间的信息交互更是难于实现，导致了设备间 的信息鸿沟。 其中事件管理便是最大的难点，更是实现安全事件快速响应的关键。通常情况下一个企 的误报率据高不下，管理员被海量数据淹没导致无法对重要安全事件做出及时响应。 集中审计系统的设计旨在解决以上难题，对各种网络事件进行集中管理。通过事件的关 联分析，追踪和还原攻击场景，提供事件的自动响应机制。集中安全审计系统对于安全事件 的处理是一个由原始数据收集到发现知识直至采取适当措施的过程。作者在论文中给出了各 阶段关键技术的研究与实现，所做工作、技术难点与创新处如下： Service 内核形成了一条软总线，通过增加插件模式的安全中间件可以支持不断出现的各种安全设 备。 2．对象池技术：面对系统中的大量短任务及数据访问请求，系统通过建立对象及线程 缓冲池，来减少对象创建及销毁时的消耗，提高响应速度。 和系统的事件。为了灵活便捷的实现对不同Et志的解析，作者采用LEX辅助自动生成日志 解析程序。日志的归一化是集中保存和关联分析的前提，文中作者给出了兼顾效率及可扩展 性的归一化结构。 4．事件的关联分析：目前IDS的高误报率已成为安全管理面对难题。集中安全审计系 统作为比IDS、防病毒网关、防火墙等安全设备更高层次的安全系统，可以通过有效的关联 全网的安全事件从而给出更加精确的判断．同时有效的分析攻击的有效性，减少安全管理员 的分析工作。作者采用状态机技术与自行设计的基于XML的攻击场景描述语言，实现了不 同事件的实时关联及攻击场景的还原。在事后分析技术上，作者研究采用数据挖掘技术实现 了事件间相关性的挖掘。 5．系统的监控与恢复：通过模拟生物免疫系统丁作机理及其多层结构，集中审计系统 协调网络中的安全设备形成类似于皮肤的外层防御，同时通过安置在主机Agent实现监控与 恢复．形成类似丁-免疫细胞的深层防御。 作者参与研制开发的集中审计系统已应用于军队及重要的政府机关(获得了军用产品认 证及CCID的J二程师推荐奖)。 关键字：集中审计系统，统一安全管理，安全事件管理，安全事件关联分析 393．08 中图分类号：TP Abstract So havecomeoutforthe eachofthemcannot manysecurityproducts pastyears，but kfformationfornouniformstandard．Thereis betweenthe exchange freely biggap these isa hardtaskforadministrators． security manageproductsvery products；to events isthehardest itismost events Securitymanagement thing，but isthe to events above6000 events secufity security managementkey quickresponse．Usually in eventsCannotbe secondaenterprise’Snetwork，the analyzedjustby happenper faultalarmsare Ins maketheadministratorresultthe prod