日志管理是网络安全的基础工作之一,通常情况下日志收集并不涉及数据分 析与挖掘,它只是从不同类型的系统、设备上收集并保存好日志。这里的系统和 设备涵盖了交换机、防火墙、路由器、服务器,以及应用程序。但日志收集不等 于日志分析,收集工作仅为后期日志关联分析打下基础。日志分析实际上是日志 信息的分析和处理,实践工作中需要在大量看似正常的日志中快速筛选出可疑的 网络事件,以便进一步调查分析,例如寻找拒绝服务或者蠕虫病毒之类特定威胁 等。
过去被称为安全事件管理(SEM)或者称之为安全信息管理(SIEM),现在称为 SIEM(Security Information and Event Management)。本工具 SIBOT 就是安全信 息与事件管理的解决方案。SIBOT 通过相关事件、用户、系统、数据、奉献和 准确状态对策信息,从而让用户及时将各个安全节点联系起来,及时定位攻击, 准确了解全网的安全态势。安全态势的数据主要来自网络中的安全设备(如防火 墙、IOS/IPS、蜜网等)、网络设备(如路由器、交换机)、服务和应用。主要采 集数据包括:网络流量(大小、流量成分)、关键网络设备(CPU 利用率、端口 利用率)、入侵事件的数量和严重等级、网络性能等数据。
SIBOT 核心仍是依靠 SEM,通过有关事件、数据、奉献等信息,实时了解 全网威胁态势。为了适应在大型网络中整合与分析,从各种应用程序和设备收集 日志。它一开始设计成分布式结构,通过对网络安全态势的充分了解,将各 个 监控节点联系起来,形成一个数据链,经过关联分析就能对黑客攻击进行分析, 进而能发出预警。
SIBOT 通过建立统一的综合管理平台体系,从而实现统一管理,将现有的 监控和维护手段有机地联系起来,实现各个安全防御系统的统一协作,通过对已 有安全信息的合理分析,可以预计网络威胁事件发生的情况,主要包括各种网络 攻击的发生频率和规模,网络中攻击事件的严重程度。攻击事件越多,造成损害 的风险越大,受感染主机就越多,造成主机数据泄露,甚至网络中断的可能性越 大。另外,僵尸网络越活跃(数量多,规模大),发生 DDoS 攻击,垃圾邮件泛 滥的可能性越大。
在分布式 SIBOT 中,可以快速地收集、分析和关联整个企业网中的安全设 备日志信息。
SIBOT 是一个开放的框架,它的核心价值在域创新地继承个开源软件之所 长。SIBOT 主要采用 B/S 架构,Web 服务器使用 Apache。其系统结构示意图如 图 2-1 所示:
图 2-1 系统结构示意图
如上图所示,SIBOT 系统结构包括三个层次:数据采集层、核心处理层和 数据展现层。
使用各种采集技术采集流量信息、日志、各种资产信息,经过归一化处理后 传入核心层。
该层体现安全事件的来源,入侵检测、防火墙、重要主机发出的日志都是安 全事件来源。
它们按发出机制分为两类:模式侦察器和异常监控,由它们采集的安全事件, 再被 Agent 转换为同一个格式发到 SIBOT 服务器,这一层就是 Sensor 要完成的 内容。
主要实现对各种数据的深入加工处理,包括运行监控、安全分析、策略管理、 风险评估、关联分析、安全对象管理、脆弱性管理、事件管理、报告管理等。该 层中,Server 是主角,Server 主要功能是安全事件的集中,并对集中后的事件进 行关联分析、风险评估及严重性标注等。所谓的集中,就是以一种统一格式组织 所有系统产生的安全事件告警信息,并将所有的网络安全事件告警存储到数据库, 这样就完成了对网络中所产生事件的一个庞大视图。系统通过事件序列关联和启 发式算法关联来更好滴识别误报和侦查攻击的能力。
SIBOT 本质上通过对各种探测器和监控产生的告警进行格式化处理,再进 行关联分析,通过后期处理,能提高检测性能,即减少告警数量、减小关联引擎 的压力,从整体上提高告警质量。
主要负责完成与用户之间的交互,达到安全预警和事件监控、安全运行监控、 综合分析的统一展示,形式上以图形化方式展现给用户。Web UI 主要由仪表盘、 SIEM 控制台、Alarm 控制台、资产漏洞扫描管理、可靠性监控、报表及系统策 略等部分组成。
一个 SIEM 产品是否有优势,主要看日志收集能否支持更多的设备日志类型, 能否容易扩展,自动识别支持未知设备日志。例如需要支持的协议有 syslog、 snmp trap、windows log、file、xml、soap 等。
SIBOT 采用插件的方式,对不同设备发出的日志进行收集。插件类型,可分 为采集(Collection)插件和监视(Monitor)插件。采集插件主要通过 SNMP、 Syslog、WMI 等协议进行采集,在 Sensor 中常见采集插件有 ossec-single-line、 ssh、syslog、wmi-system-logger 等,其中 SNMP 与 WMI 协议需要 Agent 采集 数据时主动进行所采集数据的抓取;Syslog 协议则被动接受采集数据。
监控插件包括 malwredomainlist、nessus、nmap、ntop、ocs、ossim 等。
事件关联分析就是指用户将海量安全事件,进行相关性分析,定位真正故障 点的过程。SIBOT 的核心技术之一就是关联分析,通过这项技术能够挖掘出海量 的安全产品中隐藏的信息,这样可以帮助安全人员发现入侵行为。
如果简单地将安全日志全部收集起来,而不进行关联分析,对于潜在安全事 件还是束手无策,对运维效率来说不升反降。因此,安全管理评估不仅要收集这 些海量事件,还要通过关联分析引擎进行事件“提纯”,也就是输出很少量的、 真正值得管理员关注的安全事件。
SIBOT 支持三层体系的安装方式。
收集数据包的第一层就是传感器层,它通过对镜像到 SPAN 的流量进行监控 来发现异常和入侵行为。
服务器层主要是收集传感器收集报警数据,并将其转换成用户便于理解的格 式。报警数据经处理后被导入数据库。在 SIBOT 中,可同时将报警发往数据库和 系统日志中。报警存入数据库中便于查询管理,可以更好的管理报警信息,方便 GUI 图形界面为用户展现数据。
第三层是 SIBOT 系统的展现层,是安全分析人员最常用的 Web 前端界面。
为了达到安全事件关联分析的目的,就要有好的事件处理机制,还得有好的 关联方法,而且不止一种关联方法,将多种实时关联方法结合到一起。大量标准 化处理的事件被送入关联引擎处理后,它们会经历事件分类处理、聚合、交叉关 联、启发式关联等多种关联方法,系统会根据数据库中的安全事件进行统计分类, 找出经常导致安全事件的发源地和经常被供给的端口,在这些阶段都会产生事件 告警,其安全事件关联过程模块如图所示:
关于我们
联系我们
联系方式:010-62754993
中心邮箱:appsec@pku.edu.cn
?2001-2017 北京大学软件工程国家工程研究中心版权所有 京ICP备09003427号
