【网络安全】OSSIM平台网络日志关联分析实战

本文详细介绍了网络安全管理中面临的挑战,如海量日志带来的误报和漏报问题。针对这些问题,文章重点阐述了网络关联分析技术,特别是OSSIM平台在日志收集、格式化和关联分析方面的应用。通过实例展示了如何利用OSSIM进行事件关联,提高安全事件的识别效率。此外,还介绍了OSSIM关联引擎的工作原理,包括风险评估模型、资产风险计算和事件聚合方法,帮助读者理解如何实现网络安全的实时监控和高效响应。
摘要由CSDN通过智能技术生成

一、网络安全管理中面临的挑战

目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件,但是网络管理者在安全追根溯源及安全管理面临如下挑战:

1 .安全设备和网络应用产生的安全事件数量巨大,误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。

  1. 安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后者提供基本条件;一个攻击活动在多个安全设备上产生了安全事件;多个不同来源的安全事件其实是一次协作攻击,这些都缺乏有效的综合分析。

3.安全管理者缺乏对整个网络安全态势的全局实时感知能力,安全设备各自为政,设备所产生庞大的日志冗余,独立而分散,真假难辩,显然无法直接作为安全事件响应的依据。

下面举例一个拥有500台电脑的中型企业,网络安全产品每天产生的事件数量,如表1所示。

表1 典型企业日志产量分析

安全目标 安全产品 日志产量(/天)
网络内网安全 桌面管理系统 大于1000条
防病毒系统 防病毒服务器、防病毒网管 50000条
网络安全 交换机、路由器 大于1000条
IDS/IPS 大于500000条
防火墙、堡垒机 大于2000000条
保护关键业务 主机审计、应用审计 大于100000条

我们通过现有的日志采集技术收集这些日志难度并不大,然而安全人员很难在短时间内识别出海量安全事件之间内部端倪,分析日志相关性更是无从下手。此时我们需要一种技术能够帮助我们实现从海量日志数据处理分析后能自动得到网络异常报警,这样才能提高安全团队发现网络威胁的效率。

【相关技术文档】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

二、网络关联分析技术

面对上述问题,可以关联分析平台来解决问题,这种平台可以为我们集中展示网络安全各方面的概况,同时还提供有实时监视和事件关联、风险分析、报告、通知功能,可在企业范围内全面管理、审计安全事务,大大提高了网络安全风险识别能力。关联分析平台依托关联分析核心技术集中在:日志收集、日志格式化(也叫做归一化)、日志关联分析3个方面。

1.日志收集:一个SIM产品是否有优势,就要看日志收集,能否支持更多的类型,能否容易扩展,自动识别支持未知设备日志。例如需要支持的协议有syslog、snmp trap、windows log、database、file、xml、soap等。

2.日志格式化:日志收集之后,需要格式化统一标准,这些统一格式会在原有日志基础上附加风险值、可靠性、优先级等标签,为后面的关联分析做准备,如果格式化不够标准,关联分析无法实现。以下是归一化格式:

下面以SSH原始日志和标准化日志的前后对比:

可以看出SSH暴力破解事件比原始日志多了许多元素,但这些增加项可以为今后日志关联分析做好了准备。

三、日志关联分析

在日志格式化基础之上通过一定算法(上下文关联、攻击场景关联等)从多个数据源获取事件进行关联分析,实现不同日志的风险值,并结合资产的漏洞信息以及进出流量综合计算出网络资产受威胁程度,最后发出报警,以便提醒管理员。这就大大降低了管理员分析海量日志的难度。

为了达到安全事件关联分析的目的,就要有好的事件处理机制,比如前面讲的日志收集的归一化处理,还得有好的关联方法,而且不止一种关联方法,将多种实时关联方法结合到一起效果更佳。大量标准化处理的事件被送入关联引擎处理后,它们会经历事件分类处理、聚合、交叉关联、启发式关联等多种关联方法,系统会根据数据库中的安全事件进行统计分类。

下面我们再看个关联分析场景:

(1)比如在VPN服务器日志显示张三3:00点钟,从外网登录到内部网,3:05分登录FTP服务器,并在FTP服务器上下载了某一文件。在门禁系统的日志显示张三在不久前刚刚进入办公区域,这三个日志可以关联出一个安全事件。

(2)某公司核心数据库前端部署了防火墙系统,某日安全系统监测发现张三登录了MySQL数据库服务器,但是在防火墙日志中并没有发现张三的访问日志,则说明张三很有可能绕过防火墙直接去登录数据库服务器。

  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值