统一网络安全管理平台研究与实现.docVIP

统一网络安全管理平台研究与实现 　　摘要：针对防火墙、入侵检测系统等异构安全设备的广泛应用而产生的海量的不可靠的安全事件难以有效管理的现状，提出了统一网络安全管理平台，平台利用风险评估和事件关联技术来实时地分析网络的风险状况，降低误报率和漏报率。首先给出了平台的体系结构，并介绍了各模块的基本功能，然后就安全事件预处理、实时风险评估、事件关联三个关键技术的具体实现进行了详细的描述。 　　关键词：网络安全；安全管理；风险评估；事件关联 　　中图法分类号：TP393??08文献标识码：A 　　文章编号：1001－3695(2006)09－0092－03 　　 　　随着网络安全问题的日益突出，防火墙、入侵检测系统、VPN、漏洞扫描工具等众多安全设备被部署到网络中。这些安全设备的使用在不同的侧面提升了网络的安全性，但同时也出现了一些新的问题：①难以统一管理，配置众多异构的安全设备；②这些安全设备产生了海量的安全事件且夹杂了大量不可靠信息，使得管理人员很难从中提取有意义的事件，因而无法获得当前网络的整体安全态势。因此，如何统一、有效地管理安全设备及其产生的安全事件，最大限度地发挥各安全设备的作用，从整体上提升网络的安全性，是目前亟需解决的问题。?? 　　针对上述情况，我们提出了统一网络安全管理平台。该平台从网络的整体安全出发，通过对网络中安全设备的集中监控，收集各安全设备产生的安全事件并对其格式进行归一化处理，运用风险评估和事件关联技术，实时地分析网络的风险状况，并动态地作出响应。?? 　　 　　1统一网络安全管理平台的体系结构?? 　　 　　统一网络安全管理平台由监控终端、服务器、事件收集器、数据库四个部分组成，每部分又可进一步划分为若干不同的模块。这四个部分可以在不同的计算机上独立运行，共同配合完成工作。平台的体系结构如图1所示。?? 　　控制终端是整个安全管理平台的管理端，网络管理人员可以通过它进行系统配置、用户管理、风险监视、警报监视、事件查询、报表生成等工作。?? 　　服务器是整个安全管理平台的主体部分，它包括事件处理、风险评估、事件关联、适配器控制以及数据库接口等模块。其中，事件处理模块负责接收从多个事件收集器发送过来的标准事件，用冗余消除技术去除由于多源报警所产生的冗余事件，将处理过的事件发送到风险评估、事件关联模块，并同时存入事件数据库中；风险评估模块根据主机和网络的资产价值、安全事件的优先级和可靠性，实时地评估所监控网络中各主机和子网的风险状况，当主机或网络的风险值超过规定的阈值时发出报警信息；事件关联模块从安全事件中抽取有用的信息，重构整个攻击场景，降低误报率，帮助管理人员分析出系统所存在的漏洞；适配器控制模块向事件收集器的适配器管理器模块发送控制命令；数据库接口模块为服务器中其他模块提供数据库屏蔽，完成相应的数据库操作。?? 　　事件收集器负责收集安全事件并对其进行标准化处理，同时接收服务器的控制和获取事件命令。在一个统一网络安全管理平台中可以同时运行多个事件收集器。它包括一个适配器管理模块和多个适配器模块。适配器管理模块管理多个适配器，接收服务器适配器控制模块的控制命令，配置相应的适配器，并从适配器接收安全事件；适配器是安全管理平台与特定安全设备的接口，它获取相应安全设备发出安全事件，在经过标准化处理后，将安全事件发送给适配器管理模块。?? 　　数据库服务器包括事件数据库、知识数据库和策略数据库。其中，事件数据库中存放收集的安全事件；知识数据中库中存放事件关联的规则；策略数据库中存放系统策略。?? 　　 　　2关键技术的研究与实现?? 　　 　　2．1安全事件预处理?? 　　安全事件预处理包括安全事件标准化以及冗余事件消除。由于平台用于管理各种不同类型的安全设备，各安全设备产生的安全事件的格式不尽相同，而不同安全设备可能会对同一入侵事件同时产生多个报警，从而导致了冗余事件的产生，因此需要用统一的格式对安全事件进行标准化处理并消除其中的冗余事件。?? 　　我们定义一个标准安全事件由七个字段组成，即产生时间、安全设备号、安全事件号、源IP、源端口、目的IP和目的端口。其中安全设备号是一个整型数组。对于不同的安全设备，允许其中的某些字段为空。如果两个安全事件除了产生时间和安全设备号两个字段不同外其余字段完全相同，而产生时间的差异不超过某固定的阈值（如1s），则我们认为产生了冗余事件。对于冗余的安全事件，我们将其合并为一个事件，将事件的产生时间设为诸冗余事件中最小的产生时间，而将各冗余事件对应的安全设备号均添加到合并后安全事件的安全设备号数组中。?? 　　2．2实时风险评估?? 　　风险评估是对信息及信息处理设备的威胁、影响和弱点以及三者发生的可能性的评估。在统一网络安全管理