謝應濤

（西華師范大學實驗中心，南充　637000）

網(wǎng)絡安全事件關聯(lián)分析技術研究

謝應濤

（西華師范大學實驗中心，南充637000）

0　引言

不同于傳統(tǒng)的計算機網(wǎng)絡安全防御方法，使用防火墻、殺毒軟件以及網(wǎng)絡安全硬件產品來防止計算機入侵，網(wǎng)絡安全事件關聯(lián)方法可以極大地減少處理網(wǎng)絡安全報警的人工和金錢。在以往，處理各類安全報警的方法是由人工來完成，既浪費時間同時還不能保證能從大量誤報警、重復報警信息中找到關鍵的有用信息。歸納起來，突出的問題主要有三點：第一，安全數(shù)據(jù)量大，不容易處理、分析；第二，安全數(shù)據(jù)雜亂無章，不易整理；第三，安全事件發(fā)生的隨機性大，不容易歸檔分類整理出有價值的信息。因此，網(wǎng)絡安全事件的嚴重后果總是發(fā)生后才能被用戶察覺，甚至在發(fā)生后很長一段時間內仍然不被用戶發(fā)現(xiàn)。

正因為這些問題，對網(wǎng)絡安全數(shù)據(jù)進行有效的分析，發(fā)現(xiàn)其中隱含可能發(fā)生的網(wǎng)絡攻擊事件或者入侵漏洞，對網(wǎng)絡攻擊的預防和整個網(wǎng)絡的監(jiān)控有著重要的意義。網(wǎng)絡安全事件關聯(lián)也可稱之為廣義的入侵檢測，是針對網(wǎng)絡安全事件處理中存在的問題而提出的一套特定的數(shù)據(jù)關聯(lián)方法，它將不同空間來源和不同時間序列的安全事件與具體的網(wǎng)絡環(huán)境結合在一起，通過分析網(wǎng)絡安全事件之間以及安全事件與其環(huán)境之間的關系，來減少誤報，彌補漏報，最終鎖定攻擊,只有這樣才能完善網(wǎng)絡安全防御體系，確保數(shù)據(jù)交互的安全。

1　研究背景

分析網(wǎng)絡安全事件關聯(lián)性的目的是為了通過現(xiàn)有數(shù)據(jù)預測網(wǎng)絡攻擊，達到提前預防，保護計算機不受網(wǎng)絡攻擊。當前研究的方法分別表現(xiàn)在關聯(lián)分析過程的不同階段，它們是：報警事件聚合、報警事件分類、攻擊原因關聯(lián)分析、風險評估等。

報警事件聚合分析目前主要采用根據(jù)安全日志中的各類報警屬性存在共有特征來計算分析。在文獻［1］中用手工定義的入侵事件之間概率相似性來創(chuàng)建安全事件關聯(lián)分析系統(tǒng),這類方法的優(yōu)點是在對相似報警進行分類時非常有效，能夠高效地合并相似度很大的報警，但不足在于不能很好找出一類報警中的前后聯(lián)系，并且也不能把屬于不同類別但卻有聯(lián)系的報警事件關聯(lián)。文獻［2］提出的用關聯(lián)和聚類的方法用于入侵報警的關聯(lián)分析，同時關心相似性和因果關系，一定程度上解決了這個問題。

聚合過程能在很大程度上降低報警數(shù)量，但不能消除錯誤報警和無效報警，而這些不正確的報警又會對后續(xù)的關聯(lián)分析過程產生較大的影響［3］。為了得到報警間的相互關系，研究提出了一種可以通過分析攻擊間關系的方法來進行步驟式關聯(lián)分析。文獻［4］基于該思想，提出了基于三元組的知識表示方法，并用關聯(lián)算法模擬再現(xiàn)了攻擊環(huán)境；文獻 ［5］基于該思想完善了MIRADOR系統(tǒng)的安全性。但是，這類方法也有其局限性，因果關系建立復雜且耗費時間，不適合在關聯(lián)分析過程中單獨使用。因此，又有一些研究利用已掌握的攻擊環(huán)境和已有的數(shù)據(jù)集中挖掘出知識并進行安全事件關聯(lián)分析，文獻［6］使用該思想提出了專家知識庫的構建，并在此基礎上進行關聯(lián)分析的方法。除此之外，在文獻［7］中還對該方法中的規(guī)則生成過程進行了優(yōu)化。

很多研究從統(tǒng)計學角度進行發(fā)掘，也產生了較多的方法，如文獻［8］利用時間序列之間的統(tǒng)計關系對安全事件做關聯(lián)分析；文獻［9］提出了一個基于人機交互的知識發(fā)現(xiàn)的入侵事件關聯(lián)方法，從安全事件嚴重程度的分析方面分析；文獻［10］對分布式入侵檢測系統(tǒng)中分級報警關聯(lián)技術進行了研究，提出了一種改進增量貝葉斯分類器的概率關聯(lián)方法。

盡管做了很多研究，但是網(wǎng)絡安全事件關聯(lián)分析方法還缺少一個系統(tǒng)的延續(xù)性的研究，各種方法都從不同方面做出了嘗試，但是缺少一種開創(chuàng)性的方法來指導整個體系的創(chuàng)建。

2　關聯(lián)技術研究

正因為對網(wǎng)絡安全關聯(lián)技術沒有一個整體的分析研究，因此更需要對網(wǎng)絡安全事件關聯(lián)技術的流程進行梳理。首先對原始報警數(shù)據(jù)去重與合并，然后進行關聯(lián)分析，這樣才能得到有用的預判信息?，F(xiàn)階段的研究中，網(wǎng)絡安全事件可以分為三類：基于相似度的關聯(lián)、基于環(huán)境狀態(tài)的關聯(lián)以及基于因果關系的關聯(lián)。

2.1基于相似度的關聯(lián)

此類關聯(lián)通常假設認定相關報警在屬性上具有一定程度的相似性。此假設可以從現(xiàn)實中的攻擊事件的還原分析中得到證明。文獻［11］提出了利用概率統(tǒng)計的方法來計算攻擊特征中相關屬性之間的相似度；文獻［12］使用的則是模擬退火算法，使用聚類分析來處理報警之間距離關系來判定相似度；文獻［13］提出的基于自定義的報警間距離的方法，用概率的方法定義了報警間距離，然后將相近的報警聚成一類；文獻［14］結合人工智能的思想，采用模糊認知映射圖，鏈接到入侵數(shù)據(jù)融合中，認為安全事件之間的松散關系也在有序集合中，衡量有序關系同樣采用基于概率的方法。歸納起來，基于屬性的相似度計算可以分為兩類：基于屬性類別和基于各屬性相似度。屬性類別需要從安全事件中通過分類器獲取，獲取的種類包括了硬件上的分類，攻擊方式的分類，攻擊位置及攻擊時間等信息。屬性相似度根據(jù)特征各有不同，這需要具有一定的報警事件專家知識?；谛畔⑾嗨贫鹊挠嬎悖缭谖墨I［15］基于時間而文獻［16］基于IP地址而已。此類方法需提前進行分類規(guī)則設定，設定好相似度標準、權重系數(shù)等，可以較好地處理誤報警問題，且算法實時性較好；但這種方式不解釋攻擊的具體內容，不能了解攻擊范圍和強度，不能有效關聯(lián)攻擊報警之間的時序關系和因果關系，難以識別復雜背景下的攻擊，且屬性相似度的計算以及各屬性間的系數(shù)分配很大程度上依賴于各個環(huán)境中的專業(yè)知識，依賴度大，因此跨平臺效果不佳。

2.2基于環(huán)境狀態(tài)的關聯(lián)

此類基于攻擊環(huán)境狀態(tài)的關聯(lián)將入侵過程描述為攻擊環(huán)境狀態(tài)，攻擊環(huán)境狀態(tài)分為：探測階段、嘗試階段、更改權限階段、展開攻擊階段、拒絕服務階段。其具體原理是根據(jù)人的分析來制定規(guī)則，機器學習規(guī)則后模擬整個環(huán)境狀態(tài)［17］。文獻［18］通過機器學習的方法來訓練包含已知入侵環(huán)境狀態(tài)的數(shù)據(jù)集來模擬報警關聯(lián)模型。但是這類方法的缺點在于需要在每一種環(huán)境狀態(tài)中進行訓練，而且結果模型可能對訓練數(shù)據(jù)集的依賴性比較大，如果沒有出現(xiàn)在訓練集中的攻擊環(huán)境狀態(tài)有可能被忽視。

在早期也有一種攻擊圖方法，在安全分析中考慮了網(wǎng)站本身構成的拓撲結構。用攻擊模板描述一致的攻擊行為，然后通過已有的攻擊模板，從目標狀態(tài)逆向生成系統(tǒng)的攻擊圖，生成成功則表明系統(tǒng)存在脆弱性，反之則安全。

2.3基于因果關系的關聯(lián)

這類方法基于因果關系而設計，使用攻擊前提條件和后續(xù)結果來關聯(lián)安全信息攻擊數(shù)據(jù)，從中找到因果關系給出有用的報警信息。其具體思路是：尋找一個攻擊X開始的先決條件和攻擊事件Y作為攻擊結果，分析它們之間是否存在邏輯聯(lián)系，如果存在，則X和Y就可能是一個系列攻擊的兩個環(huán)節(jié)。文獻［19］中事先定義了各種攻擊可能發(fā)生的原因和結果之間聯(lián)系的知識庫，通過對報警實例之間前因和后果的匹配，形成報警關聯(lián)圖。有了對攻擊的先決條件和攻擊后果的詳細描述，關聯(lián)的過程就相對容易得多。但是這類方法的缺點也是明顯的：因果關系復雜，要建立知識庫還沒有比較完善的解決方案，運行中耗費資源大，需要對各個因果關系進行匹配。

3　結語

在經(jīng)濟信息化高速發(fā)展的今天，網(wǎng)絡安全直接關系著國家和社會以及每個人的切身利益。隨著網(wǎng)絡技術的快速發(fā)展，針對國家及個人的網(wǎng)絡安全攻擊呈現(xiàn)了分布化、集群化、復雜化等趨勢發(fā)展。因此急切需要研究多方面的網(wǎng)絡安全技術針對這些危害，不僅能做出補救而且還能提前預防與分析。面對錯綜復雜的網(wǎng)絡安全問題，及時對安全狀態(tài)進行捕獲和分析，發(fā)掘出隱含的變化事態(tài)，找到整個網(wǎng)絡中宏觀存在的問題正是網(wǎng)絡安全事件關聯(lián)分析的主要任務。本文介紹了網(wǎng)絡安全事件關聯(lián)技術并提出了現(xiàn)有存在的問題：基于各種模型或者算法的關聯(lián)方法本身還不完善，具體的問題有：算法效率的性價比問題，關聯(lián)技術的準確度問題，適用范圍等問題都有待于改進完善；另外一個比較重要的問題是，大部分的研究還處于實驗室階段，大規(guī)模的商業(yè)化應用還需要走很長的一段路。

［1］D.Andersson,M.Fong,A.Valdes.Heterogeneous Sensor Correlation:A Case Study of Live Traffic Analysis.Presented at Third Ann. IEEE Information Assurance Workshop,June,2002：1～12

［2］H.a.W.Debar,A..Aggregation and Correlation of Intrusion-Detection Alerts，2001:87～105

［3］S.T.Eckmann,G.Vigna,R.A.Kemmerer.STATL:An Attack Language for State-based Intrusion Detection.J.of Computer Security, 10（1/2），2002:71～104

［4］P.Ning,Y.Cui,D.S.Reeves.Analyzing Intensive Intrusion Alerts Via Correlation.Presented at Recent Advances in Intrusion Detection.5th International Symposium,RAID 2002.Proceedings,16-18 Oct.2002,Zurich,Switzerland,2002:74～94

［5］F.Cuppens，R.Ortalo.LAMBDA:a Language to Model a Database for Detection of Attacks.Toulouse,France,2000:197～216

［6］J.L.Hellerstein,S.Ma,C.-S.Perng.Discovering Actionable Patterns in Event Data.IBM Systems Journal,vol.41,2002:475～493

［7］C.Araujo,A.Biazetti,A.Bussani,J.Dinger,M.Feridun,A.Tanner.Simplifying Correlation Rule Creation for Effective Systems Monitoring.Presented at Utility Computing.15th IFIP/IEEE International Workshop on Distributed Systems:Operations and Management, DSOM 2004.Proceedings,15-17 Nov.2004,Davis,CA,USA,2004:266～268

［8］李家春,李之棠.神經(jīng)模糊入侵檢測系統(tǒng)的研究.計算機工程與應用，2001，37：37～38

［9］李輝,韓崇昭,鄭慶華,昝鑫.一種基于交互式知識發(fā)現(xiàn)的入侵事件關聯(lián)方法研究.計算機研究與發(fā)展,2004:11,2004:1911～1918

［10］L.Z.-t.Li Jia-chun.Novel Model for Intrusion Detection.Wuhan University Journal of Natural Sciences,2003,:8：46～50

［11］KRUGEL C，TOTH T，KERER C．Decentralized Event Correlation for Intrusion Detection．4th Intemational Conference on Information Security and Cryptology（ICISC），2001：114～13 1P University，Department of Computer Science，2001

［12］P,Ning，Yun Cui．An Intrusion Alert Correlator Based on Prerequisites of Intrusions．Technical Report TR-2002-01，North Carolina State University，Department of Computer Science，2002

［13］Christopher Alberts，Audrey Dorofee，James Stevens，Carol Woody．Introduction to the OCTAVE Approach．Carnegie Mellon Software Engineering Institute．August 2003．http://www．cert．org/octave/approach_Intro.pdf

［14］P A Porras，M W Fong and A Valdes．A Mission-Impact-Based Approach to INFOSEC Alarm Correlation．RAID．Spring Verlag，October 2002:95～114

［15］Desai N．IDS Correlation of VA Data and IDS Alerts.http://www.securityfocus.com/infocus/1708,2003

［16］Ron Gula.Correlating IDS Alerts with Vulnerability Information.TENABLE Network Security Inc.,2007

［17］AlienVault LLC.http://www.alienvault.com/［EB/OL］.

［18］JBoss Community.http://www.jboss.org/drools/［EB/OL］.

［19］P.Ning，D.Xu.Hypothesizing and Reasoning about Attacks Missed by Intrusion Detection Systems.ACM Transactions on Information and System Security,591,2004，7，1～34

Network Security；Event Correlation

Research on the Technology of Network Security Event Correlation

XIE Ying-tao
（Experiment Center，China West Normal University，Nanchong637000）

1007-1423（2015）08-0065-04

10.3969/j.issn.1007-1423.2015.08.015

謝應濤（1982-），男，四川南充人，碩士，研究方向為人機交互、數(shù)據(jù)安全

2015-01-08

2015-02-10

隨著技術的發(fā)展和社會發(fā)展對網(wǎng)絡依賴度的增加，網(wǎng)絡安全事件發(fā)生的頻率較高，網(wǎng)絡攻擊難以及時被發(fā)現(xiàn)或預判。網(wǎng)絡安全事件關聯(lián)分析技術不同于傳統(tǒng)手段，而是通過關聯(lián)技術來推測將要發(fā)生的網(wǎng)絡攻擊，使得網(wǎng)絡管理人員能夠及早制定出有效的防范對策而減少損失，甚至可以在攻擊發(fā)生前就將其阻止。主要研究網(wǎng)絡安全事件關聯(lián)分析技術并提出未來發(fā)展的趨勢。

網(wǎng)絡安全；事件關聯(lián)

Network security events occur very frequently and the network attacks are difficult to be found in time or predicted.Network security event correlation technology differs from traditional software vulnerabilities through patches,intrusion detection and other means to establish security and defense systems,through the network security event correlation techniques to predict the future of network security incidents will occur,and even be able to take appropriate counter-measures in advance,before the attack will not happen of its blocked.Describes the underlying technologies and methods on network security event correlation technology and proposes future development trends.