|
摘要
目的——本文的目的是演示如何确保在没有困难的情况下,网络安全事件在实时精确聚焦过程中决定参数。
设计/工艺/方法——聚合方法包括聚集粒度的选择、抽象层的一致性,一个属于节点缓存的所有的超级安全事件的表达方式 ,包括基于分类的抽象算法等。
发现——聚合方法能够为下一个与过程相关的衰弱和简单的参数提供一个良好的HSES实时方式来确定的。
研究限制/蕴含式——空间的成本在类函数中没有被讨论。
实际意义——聚合方法适用于管理实时的困难问题来解决大规模的安全事件。
创意/价值——本文中的许多想法和概念首次提出,如HSEs表达的所有节点缓存、弱队列长度而不是weak-time窗口等等。
关键词控制论、相关分析、网络操作系统、数据安全、流程管理技术论文论文类型
I介绍
与日益增长的规模和网络的应用,由于种类繁多的入侵出现了越来越多的安全设备被部署在企业的网络中。然而,网络安全经理面临以下的挑战,
因为安全设备和网络应用中产生了大量的网络安全事件。(所有警告数据和安全日志数据),很难人工处理这些巨大的数据量。,存在严重的假阴性,和一些真正的阳极板躲在假阴性背后难以辨认。不同的安全设备有不同的侦探能力,从而导致不同的假阴性结果在某种程度上是假阳性。安全管理人员在实时总个整体网络时缺乏安全感。
本文是由国家自然科学基金(证号:60573120)。
A 相关工作
针对上述的问题,很多与网络安全相关的事件分析被提议。Debar和Wespi(2001)提出了一种聚集和相关组件。用预先定义的相关规则分析。在这些规则里,冗余和因果关系警报被确定,这个方法的主要缺点在于缺乏综合考虑警报之间的关系和缺乏未知攻击的相关性。Valdes提出了一种基于与美国国防部的翡翠工程的相似性的概率警戒。该方法通过属性的相似度计算了网络安全事件之间的相似性,当相似性警报超过一定阈值, 他们可以归属到一个类型。这种方法在伴随良好的实时警报的高相似度的情况下很强而且有效。然而,该系统不懂这个攻击本身,相似性的期望和重力的属性比较难做决定。Roesch提出了实时网络的思想意识。它被设计为为入侵检测系统(IDS) 提供主机和网络的背景信息,使入侵检测系统(IDS)鉴别真实性的警告。
我们也注意到现在应用程序代理的是一个在很多领域成长的研究课题,在某些领域丁晓萍。(2005),邝、徐(2005)和涛与飞(2003)。我们在很多代理商以及许多概念中介绍了网络安全智能集中管理系统(NSICMS),例如,网络安全事件, 相关分析的三个主要的关系等。本文采用(Ma et al2007)关联分析按次序是分类处理1,聚焦处理,分类处理2,互关联和序列相关,在不同的处理阶段, 警报将被制作出来。在NSICMS的相关过程的模块结构如图1所示。
B本文的主要工作,协议和大纲考虑到网络安全的特点和适时加工需求,提议了一个在网络安全事件中的实时去交方法。这个聚焦方法消除在实例层和抽象的冗余。聚集算法。这个聚焦算法对于实时操作易于实施,方便,而且对下面的互关联,序列相关等非常有利。
没有误述和困难的参数做决心,它克服了不是代表实时的聚焦算法的问题,很难确定参数,并引起了误述。许多想法和概念的提出对他们是第一次, 如表达所有的超级安全事件(HSEs)的节点缓存,,是弱队列长度而不是weak-time窗口等等。!
几个协议被这个部门维护。网络安全事件产生的地方被称为安全事件源(SESs)。这个警报,安全日志的记录, 的每一种相关分析的结果都属于安全事件。标准化得安全事件也被称为标准安全事件,许多CSEs在聚焦之后变成一个HSE。关于安全事件的相关分析包括分类,聚焦,序列相关,互关联,等。聚集包括聚类和合并。格式统一后的安全事件中的类(在面向对象方法学中的术语)被称为基本类的安全事件。(SEBC)
本文的轮廓形成如下。第二部分介绍了聚合方法。第三部分介绍了实验。第四部分总结了论文。
II 集结法
聚集方法是在不同的面貌中的所有的安全事件的管理系统核心方法中的一种。我们的聚合方法包括选择聚集粒度的特征,SEBC的属性,抽象层的一致性,表示所有的HSEs节点缓存、基于分类(AABC)的聚集算法等。
A四个聚集粒度的定义
(1) 最小粒度。安全事件中的相同节点,端口的聚集,并且从不同的SESs通过原子攻击活动触发攻击类型。
(2)中间粒度。安全事件中的相同节点的聚集,并且从不同的SESs通过原子攻击活动触发攻击类型。
(3)大粒度。安全事件中的相同节点,端口的聚集,并且从不同的SESs通过同类原子攻击活动触发攻击类型。
(4)特大粒度。安全事件中的相同节点聚集,并且从不同的SESs通过同类原子攻击活动触发攻击类型。
特大粒度是用于我们的聚合方法。在某一个时间窗口内,一个或许多个SESs关于节点触发的安全事件通过同类原子攻击聚集成为一个HSE。原子攻击动作引用了一个攻击的步骤。例如, 扫描操作针对一个主机的许多端口可以被看作是在某一个时间窗口内作为一个原子的攻击行为;密码实验在某一个时间窗口内针对同样的目标可以看作是一个原子的攻击行为。
B SEBC的属性和抽象层的一致性
关于安全事件的相关分析的主要障碍是: 来自不同类型的SESs的安全事件是在不同的格式、有不一致的名字是因为安全事件在不同的SESs签名下通过相同的攻击触发;
通过SESs定义的相同原子攻击(也包括不规则行为的签名)的签名也许是不相同的。因此, 统一的格式和攻击类型的一致性应当在聚集之前完成的。网络安全警报的IDMEF不适合于安全事件中的相关处理。我们这里使用扩展IDMEF。安全事件是提出了一种使用面向对象的方法学。中等教育证书是SEBC的一个实例。这类安全事件在聚集和互关联之后被称为SEBC的子集,它拥有除了SEBC的属性之外属于自己的属性。SEBC具有如下属性:SecEventId、安全事件的数量;SensorId,
发送许多安全事件的传感器,单列直插式组件,源Ip安全事件,S端口,
源端口安全事件,DIp、目的地Ip安全事件,DPort,安全事件的目的端口,DTime、安全事件产生的时间;A类型,攻击类型的一致性名字;SE的签名,安全事件触发的签名;严重, 呈现出的严重显示了安全事件到底有多糟糕;可靠性,可靠性展示了安全事件的真实程度, 紧急,紧急展示了安全事件的处理需求时间,SE类型安全事件的种类,它是CSE或HSE等;和警报的标志。
严重性,可靠性,和紧急性的价值标准是介于0到10的。随着相互关系的加深,这些价值通常都会改变。Riskthreshold 是处理安全事件的门槛风险。Riskt 是在时间t的一个安全事件的风险价值。如果某些安全事件符合下列条件:
它会成为一个警报并且迅速处理。通过处理价值的相互关系,这些安全事件会被及时处理,更多的可靠性和更多的关注会在没有任何延迟的情况下被及时处理。
抽象层的一致性和在这一层去除冗余是通过设置那些解决了安全事件在SESs表达上的冗余实现的。这个过程可以划分为三个步骤。第一步:计算合并设置。
SSSESi是被定义在NO.1的SES的所有攻击类型的签名(匹配,统计和反常签名)设置(这是已知的)。SSSES中的元素是所有SESs的攻击类型的签名。SSSES等于SSSES1 < SSSES2。SSSESi。 < SSSESn和在SSSES的每一个签名被授予一个联合的攻击名字。在SSSES的每一个签名被授予一个联合的攻击名字但是攻击类型的名字是不同的。第2步,在SSSES相似签名中的合并元素并且用宽签名代替他们。SSSESM是在合并之后的设置。在SSSESM中的大量元素比在SSSES遥少。这一步减少了冗余,并且同时通过扩展保障来保留有用的安全事件。
第三步,系统保持了一个攻击签名和相互攻击类型的标准数据库。签名好攻击类型做为一致的签名和在系统的攻击类型。
对于那些适合于增量应用一致性的完成是在不影响系统性能的脱机的情况下完成的。如果一个新的SES可以被添加,它可以通过最近的SSSESM完成直接的一致性。
C在高速缓存的定义中所有的表达HSEs的一个节点。在高速缓存中,所有HSEs的特定节点在被控制的网络中表达成四个成员组:NodeHSEs(NodeIp,IAType,OAType,LiveTime)。在NodeHSEs, NodeIp 是一个节点的ip地址,IAType是作为CSEs的目的地的节点的HSEs的设置,OAType是作为CSEs的资源的节点的设置,并且使用期限是NodeHSEs 在高速缓存的生存时间,类似于TTL中的TCP/IP协议。
当NodeHSEs在使用期限不做改变的时候,NodeHSEs会自动清除。如果它的使用期限中改变,使用期限会设置回它的初始值。在这一种方法中,它可以避NodeHSEs占用太多的空间从而不会因为改变而花太多的时间。HSEs在高速缓存的一个节点的图表会在图表2中显示。每一行都以箭头代表一个HSEs。同样的方向不同的行代表不同的HSEs的类型。HSE的格式是: 如果HSE属于IAType,由SIp, SPort, DPort, Count,和CSE的DTime的队列组成元素的输入输出值是1,如果HSE属OAType,由SIp, SPort, DPort, Count,和CSE的DTime的队列组成元素的输入输出值是0。这两种类型的元素是通过元素(SIp: SPort: DPort: Count: DTime)和元素(DIp: SPort: DPort: Count: DTime)分别表达的。计算在一个HSE队列中号码相同的SIp: SPort: DPort or DIp: SPort: DPort并且它的初始值是1.每一个在队列的元素通常都代表了许多有着相同SIp 和SPort和DPort或是相同DIp和SPort和DPort的CSEs。队列和它的属于IAType的一个HSE的元素会在图表3中显示出来。
D AABC的假-节点
按照安全事件的脱机统计,我们发现大多数的多余的安全事件来自相同的资源,同样的类型和同样的目的地在那些相同的类型和目的地或是相同的类型和资源的数量很大。正如图表四所示,同样目的地为218.XX.XX.176的五个安全事件可以被聚集称为一个HSE。一个新的CSE自然称为一个SEBC的实例。在一个特别的时间窗口(这里我们用队列长度代替时间窗口),它可以在控制的网络聚集成为那些有相同攻击类型和方向(进去或出来的节点)的特点节点的其它一样的HSE。
通过节点指导聚集算法是一个实时的基于脱机工作和分类攻击的控制的网络。这个算法解决了冗余的问题并且同时方便了下一个相关处理。在移除冗余之后,HSEs的数量是非常小的。AABC下图所示(假设这些安全事件已经做好了超过预设的门槛的紧急相关处理,总个数达到了门槛,并且可靠性足够的高,等等)。
当一个属于IAType的节点的HSE在控制的网络中建成的时候,这个HSE的队列当然是在SIp, SPort, DPort,初始值计算中建成的,而DTime是作为一个元素放进队列里面的。当一个新的CSE到达这个节点的时候;第一,它应该判断是否有一个相同的AType在IAType。如果不是,一个新的HSE会被创建。如果是的话,这个队列会被更新。当一个新的CSE来攻击另一个节点的时候,如果在高速缓存中没有这个节点的NodeHSEs,这个节点的NodeHSEs会被建成,并且会有一个新的HSE在它的IAType中建成;如果在高速缓存有这个节点的NodeHSEs,然后它将决定是更新HSE还是建成HSE。它同样适用于一个从CSE出发的节点。当特定的NodeHSEs在使用期限没有做出改变,NodeHSEs占用的空间将会被释放。聚集算法通过队列长度反映了时间窗口的更新作用。不同的 AType也许是不同的队列长度,队列长度越长,聚集的范围越广。这里,时间窗口和队列长度都是没有特别精确要求的弱的概念。更新(NodeiIAType)功能将在下面描述。
当有着HSE模型的相同的AType的新的CSE到达一个节点的NodeHSEs的生存周期的时候,如果HSE的队列还没有满并且没有SIp: SPort: DPort equals the SIp: SPort: DPort 的元素通过CSE生成的,然后元素SIp: SPort: DPort equals the SIp: SPort: DPort被增加到队列中。如果队列已经满了而且队列中没有元素有一致的标准,在前面的元素会被丢弃,而在队列后面的元素会被移项CSE生成的SIp: SPort: DPort: Count: DTime会被加到队列里面。如果队列已经满了,而且SIp: SPort: DPort中的元素等于等于CSE生成的SIp: SPort: DPort,然后更新这个队列的元素并且增加1到这个计算值中去。
输出: 聚集算法的
NodeIATyp和NodeOAType都用于下一个相关联,例如,互关联,序列相关等等。
在控制的网络聚集安全事件中的一个节点之后是HSEs。在IAType或是OAType,没有多余的HSE,接下来的相关性是基于在一个特定节点的HSEs的。
III实验
为了聚集现实生活中的通信攻击并且测试在NSICMS的聚集方法的性能,我们在里面用1350台主机监控真实的中国华中地区中心的子网的教育和研究网络。SESs是五个snorts,一个思科路由器,两个思科防火墙,12个ip表,一个域名服务器,和一个web服务器。
为了简化问题, 我们仅仅设置了四个队列长度值作为接下来的,尽管我们可以设置的更多:这个小的频率的AType是10,普通的是20,更大的频率是50而最大的是100,而生产周期是8h在聚集算法中。三天之后,我们检查了通过一个HSE表达的CSEs的数量。我们发现几乎每一个HSE在相同的AType下都表达了许多的CSEs。例如,在09:34:20,一个218.XX.XX.176 的“ICMP PING”HSE聚集成5657 “ICMP
PING” CSEs,一个218.XX.XX.176的“SNMP trap udp” HSE聚集成4369 “SNMP trap udp” CSEs,一个218.XX.XX.184的“CHAT IRC nick change” HSE聚集成
1823“CHAT IRC nick change” CSEs;在10:33:10,一个218.XX.XX.176的“ICMP PING” HSE聚集成6454 “ICMP PING” CSEs,一个218.XX.XX.176的“SNMP trap udp” HSE 聚集成 5278 “SNMP trap udp” CSEs,一个 218.XX.XX.184的“CHAT IRC nick change” HSE聚集成1975 “CHAT IRC nick change” CSEs。我们同样模拟一个多级的攻击攻击 218.XX.XX.167来测试属于LLDOS2.0.2的攻击用法方案在NSICMS的聚集算法。我们发现模拟攻击的每一步都可以在NodeHSEs找到,如果在前一步和后一步的间隔在8h的话。通过相应的序列相关规则,它们可以变成相关联并且因此产生相应的报警。我们设置四个队列长度的值如下:最小频率的 AType是20,普通的是30,较大的是60,最大的是150并且在聚集方法中生存周期是9h。我们发现了类似的结果。
研究表明上述论证在NSICMS的聚集方法是有能力为一个好的HSEs提供下一个相关处理,这个参数是弱得并容易确定的,并且最重要的是它是一个实时的方法。
IV.结果
在本文中,我们按照节点的观点在控制网络中研究问题,使得安全事件相关性的目的更清晰,并且简化了内容相关的特性。聚集算法明显减少了冗余。用弱队列长度代替时间窗口解决了时间窗口难以确定的问题。使用在高速缓存中的而一个节点的所有HSEs的符号保证实时的质量,并且允许接下来的序列相关在一个充足的时间段进行多级相关性攻击。这种方法不包括那些很难确定的和没有误述
的其它的参数。总之,这种聚集方法适合于困难问题的实时管理来解决安全事件。
参考文献
Debar, H. and Curry, D. (n.d.),《 入侵检测的信息交换格式》,可在:www.ietf.org/internet drafts/draft ietf idwg idmef - xml - 5 txt中找到
Debar, H. and Wespi, A. (2001), 《聚集和相关性的入侵探测警报”》近年来的入侵检测LNCS 2212,pp85-103
Kuang, T. and Xu, X. (2005), 《基于智能代理的远程合作学习模式》, 在系统科学和应用提出的。pp. 525-31.
Ma, Y., Li, Z., Lei, J., Wang, L. and Li, D. (2007), 《全球网络安全事件的综合处理》关于模糊系统的四小时工作会议并且知识探索在,海口,中国。( FSKD’07 ), Haikou, China.
MIT Lincoln Lab. (2003), 《2000年DARPA入侵检测情况具体数据集》,可在7月7日:www.ll.mit.edu/IST/ideval/data/2000/2000_data_index.html
Roesch (n.d.), 《Sourcefire实时网络意识》,可在:www.sourcefire。com/ products / rna.html
Tao, L. and Fei, Q. (2003),《 基于多智能体的分布式holonic合作解决问题的过程》先进的系统科学和应用, pp. 609-14.
Valdes, K.S. (2001),《概率警戒相关》对近年来的入侵检测的四小时的学术报告会的会议录,戴维斯,CA
Zhou, J., Feng, S., Jin, B., Luo, J. and Xu, L. (2005),《一个以代理人为基础的分布式和审计建筑认证》系统科学和应用中提出pp. 160-7. | 
