面向服务的信息安全威胁分析模型

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2 威胁分析
2.1 威胁分析域架构 威胁分析域的内部架构如图 2 所示,主要包括域内威胁
分析引擎、全局威胁分析引擎和服务抽象模块 3 个组件。域内 威胁分析引擎调用数据功能域的服务,将得到的域内威胁信息 通过分析生成威胁分析报告;全局威胁分析引擎综合本域及其 他两个域的威胁分析结果,根据知识规则进行全局的威胁关联 分析,得出全局相关的威胁分析报告;服务抽象引擎将域内威 胁分析引擎和全局威胁预测引擎生成的报告抽象成服务访问接 口,供其他功能域使用。
全局威胁分析引擎利用内部和外部的威胁信息,根据威胁 知识库的内容完成协同威胁分析的任务。全局威胁分析引擎的 基本工作流程如图 3 所示。如果一个威胁分析域监控到了一个 内部威胁事件,将按以下步骤进行全局威胁分析:
① 分析引擎将通过访问其他域的服务了解在其他域上是否 也有类似的威胁事件发生,若有,则威胁事件的可信度有所提高。
3 模型实现及测试
3.1 模型实现
SOTA 模 型 的 实 现 如 图 4 所 示, 数 据 服 务 域 通 过 SNMP Trap 及文件读写的方式收集告警及日志信息,在收集解析这 些信息的同时,使用存储过程完成对信息的初步归档并存储到 Oracle 数据库中。网络威胁分析主要采用 Snort[4] 的网络入侵检 测知识库,主机威胁分析使用 Snort 及 Open Source Tripwire 的 知识库,应用威胁分析使用自定义威胁分析知识库及数据挖掘 工具 WEKA[5]。监控中心使用 Tomcat Web Server,后端使用的 是 Strust+Spring+Hibernate 框架,前端使用是的 AJAX/DWR 主 动推送方法,选用 Service Mix[6] 实现 SOTA 模型的 ESB。
由于域内威胁分析的方法和结果都可能不同,所以需要对 域内分析得到的结果进行封装和抽象,从而向其他威胁域提供 简单统一的访问接口。访问接口的抽象根据模型具体的应用环 境有不同的实现。功能域间相互访问威胁信息服务的方法有两 种:一种是基于请求、回复的服务访问接口,另一种是基于订 阅、发布的主动信息推送模式。威胁分析功能域可以通过请求、 回复的方式得到关联推测过程中需要的信息,也可以通过发送 订阅请求得到订阅号,然后在 ESB 通道上接收到对应的订阅内 容。订阅的方式既能接收到新的策略及威胁事件信息,还能有 效地关注可疑事件的后续发展。 2.4 协同威胁分析
并及分发服务;资产价值信息域提供受威胁资产的信息服务;
安全策略域提供动态变化的安全知识及策略信息服务。
信息安全与通信保密 · 2011.9 97
学术研究
Academic Research · 本栏目由保密通信重点实验室协办
威胁分析域是 SOTA 模型中最重要的功能域,模型包含 3 个独立的分析域:网络域、主机域、应用域。网络域分析网络 安全威胁信息,包括防火墙、NIDS、UTM 中的部分告警、VPN 中的告警及日志等;主机域分析主机安全威胁信息,包括 HIDS 告警、系统日志、系统安全告警和杀毒软件告警等;应用域分 析应用安全威胁信息,包括数据库、Web 服务器告警及日志, 以及应用状态监控系统收集到的威胁信息。威胁分析域通过调 用数据、资产价值信息和规则协同完成对威胁信息的分析,形 成的分析报告以服务的形式向监控中心公开。信息安全管理平 台根据防护需求,将各个域的服务按一定的逻辑组合在一起, 从而达到威胁分析及安全控制的目的。模型从传统的计算密集 型转化为交互密集型。为了满足大量、快速、统一的信息交互 需求,模型中使用了成熟的企业级服务总线 (ESB) 技术,不仅 使信息交互迅速,而且还有效屏蔽了服务的内部细节,使服务 提供者和服务使用者都能更好地专注完成域内的工作职责,当 服务发生变更时,只需随之改变 ESB 的配置即可。
② 访问其他域的状态信息服务,确定威胁事件对系统状态 造成的影响,根据状态信息,一方面评判威胁事件的严重程度, 另一方面进一步判断威胁事件的可信度。
③ 由于很多威胁事件都不是独立的,而是多步或相关联的, 因此全局分析引擎需要完成各个域中威胁事件的关联。
④ 在关联过程中,可疑事件的后续事件是否发生对整个事 件的威胁性起着至关重要的评价作用。为了监控后续事件,全局 关联分析引擎对后续事件进行智能预测,并向其他威胁分析域订 阅相关的信息,同时将这些事件放入到监控事件池中,如果后 续威胁事件的确发生,则监控事件被再次激发,再次执行①。
Spring Struts Tomcat hibernate My SQL
DWR Web 监控终端
3.2 模型测试及结果分析
(1) 测试方法
使用上海 2010 年世界博览会期间收集的信息安全监控数
据对模型进行测试,这些数据包括由入侵检测系统、主机加固
系统、杀毒软件、防火墙、应用安全监控软件、统一威胁管理
⑤ 全局威胁分析引擎根据事件的真实性和严重性生成威胁 分析报告,监控中心可以通过订阅报告得到全局威胁信息。
订阅的事件 监控池
域内威胁
外部服务 订阅
相似性
影响分析 关联分析
可信度 知识库
发布 分析报告
预测
严重性
图 3 全局威胁分析引擎基本工作流程
98 www.cismag.com.cn
学术研究
自主创新 重点跨越 支持发展 引领未来·A cademic R esearch
收稿日期:2011-05-25 作者简介:谭大礼,1987 年生,男,硕士研究生,研究 方向:网络安全、信息安全管理;王明政,1974 年生,男, 博士,副教授,研究方向:网络安全、信息安全管理;王璇, 1987 年生,女,硕士研究生,研究方向:信息安全管理。 * 基 金 项 目: 国 家 自 然 科 学 基 金 资 助 项 目 ( 批 准 号: 60803089)。
(School of Information and Security Engineering,Shanghai Jiaotong University,Shanghai 200240,China) [Abstract] Based on service-oriented architecture,this paper proposes a novel service-oriented model for threat analysis. The model divides the analysis work into different domains,and exchanges inter-domain information in form of service. This model could be flexibly implemented,and could take full advantage of threat information. Security alarms collected during Shanghai Expo 2010 are used to test the model,the testing result indicates that this model could achieve high alarm accuracy and has distinct advantages in discovering long time-scale and multi-steps events. [Keywords] service-oriented;threat analysis;alarm handling
面向服务的威胁分析 (SOTA) 模型是在面向服务的设计架 构 (SOA)[3] 基础上,结合 2010 上海世界博览会的信息安全防护
经验设计而成,整体结构如图 1 所示。
安全策略
监控中心
响应服务
安全审计
资产信息
企业服务总线
主机威胁分析
网络威胁分析
应用威胁分析
第三方关系分析
城内数据处理
第三方数据服务
0 引言
1 面向服务的威胁分析模型
为了保证整个网络的信息安全,各种各样的安全防护设 备 ( 系统 ) 被部署到网络当中。这些安全系统每时每刻都在产 生有关安全威胁的各种信息,这些信息对发现网络系统中潜 在的威胁有重要意义。然而,庞大的数量、多样的形式、复 杂的内容,加之各安全厂商之间缺乏统一的安全信息交互标 准,使得对这些信息中潜在威胁的发掘困难重重。过去十多 年,科研人员提出了很多威胁分析模型 , [1-2] 这些模型通常将 告警信息格式进行统一,然而由于各安全设备本身的功能差异 性较大,一味地强调格式统一使得原本安全系统的告警信息 被裁剪,导致部分重要信息丧失,降低了威胁信息的利用率。 针对这些问题,文中设计了一种全新的威胁分析模型——面 向服务的威胁分析 (Service Oriented Threat Analysis,SOTA) 模 型,可以有效地提高告警信息的使用率和威胁报告的准确率。
域内威胁分析引擎根据域内安全知识库,首先对虚假告警
事件进行过滤,然后经过统计合并、相似合并得到更高层次的 告警事件和日志信息,采用聚类或者关联分析的方法找出内部 由同一事件产生的告警信息。根据监控中心对威胁报告的响应, 分析引擎不断调整更新知识库,以免大量的信息继续重复上报。 2.3 接口抽象及服务访问
分析的工作分域治之,并通过服务的形式完成威胁分析域之间的信息交互。模型实现方法灵活,能充分利用威胁信息。
使用上海 2010 年世界博览会期间信息安全管理系统接收到的告警及日志信息对威胁分析模型进行了测试,测试结果表
明模型不仅有较高的告警准确率,而且对大时间尺度事件、多步事件的发现有明显的优势。
[ 关键词 ] 面向服务;威胁分析;告警处理
第三方数据 数据服务
域内威胁分析 超告警 预判 分类 聚合 过滤
域内知识
威胁分析域 服务抽象 分析结果
信息 报告 服务接口
全局威胁分析 关联分析
影响 相似
图 2 威胁信息分析功能域结构
提供服务 外部服务
2.2 域内威胁分析 域内威胁分析引擎接收到的威胁信息可以分为两类:一类
是从数据功能域得到的威胁信息,另一类是威胁分析域独立收 集的告警及日志信息。域内威胁分析有两个主要目的:一是形 成域内的威胁情况报告,比如在网络分析域,可以形成由网络 入侵检测系统独立完成的入侵检测报告,主机域形成访问热度 报告等;二是整理本域的信息,供全局威胁引擎使用。
数据服务
分发
分类
清理
聚类
抽象
转换
认证
缓存
数据适配
日志
状态
告警
图 1 SOTA 模型结构 模型以面向服务为中心,把网络中的信息安全防护任务根
据防护逻辑划分成多个功能域,每个功能域完成自己的防护职
责,同时向其他功能域提供所需的威胁信息服务。其中数据功
能域提供网络中安全设备的告警及日志信息的收集、存储、合
系统收集的告警事件和日志,数据总量约为 2 亿条。根据这些
事件产生的主体及时序,实现了告警事件仿真器。仿真器不断
地模拟产生这些事件,并发送给 SOTA 模型进行相应的处理,
通过对处理结果的分析达到检验模型有效性的目的。
(2) 准确性分析
学术研究
自主创新 重点跨越 支持发展 引领未来·A cademic R esearch
面向服务的信息安全威胁分析模型 *
谭大礼,王明政,王 璇
( 上海交通大学信息安全工程学院,上海 200240)
[ 摘 要 ] 基于面向服务的设计思想,提出了一种全新的信息安全威胁分析模型,模型以面向服务为中心,将安全威胁
SNMP Trap
JMS
Service Mix
Socket XMLபைடு நூலகம்RPC
Camel ActiveMQ JMS
JMS
JMS
JMS
My SQL
J2EE Snort 网络威胁分析域
Tripware
My SQL
J2EE Snort
J2EE Weka
主机威胁分析域 应用威胁分析域
图 4 SOTA 模型实现方案
[ 中图分类号 ] TP311
[ 文献标识码 ] A
[ 文章编号 ] 1009-8054(2011)09-0097-03
Service-Oriented Threat Analysis Model for Information Security TAN Da-li,WANG Ming-zheng,WANG Xuan
相关文档
最新文档