一、网络安全管理中面临的挑战
目前很多组织都已经拥有了防火墙、入侵检测、防病毒系统、网管软件,但是网络管理者在安全追根溯源及安全管理面临如下挑战:
1 .安全设备和网络应用产生的安全事件数量巨大,误报严重。一台IDS系统一天产生的安全事件数量近成千上万。通常99%的安全事件都是误报。真正有威胁的安全事件淹没于海量信息中难于识别。
- 安全事件之间存在的横向和纵向方面(如不同空间来源、时间序列等)的关系未能得到综合分析,因此漏报严重,不能实现实时预测。一个攻击活动之后常常接着另一个攻击活动,前一个攻击活动为后者提供基本条件;一个攻击活动在多个安全设备上产生了安全事件;多个不同来源的安全事件其实是一次协作攻击,这些都缺乏有效的综合分析。
3.安全管理者缺乏对整个网络安全态势的全局实时感知能力,安全设备各自为政,设备所产生庞大的日志冗余,独立而分散,真假难辩,显然无法直接作为安全事件响应的依据。
下面举例一个拥有500台电脑的中型企业,网络安全产品每天产生的事件数量,如表1所示。
表1 典型企业日志产量分析
安全目标 | 安全产品 | 日志产量(/天) |
---|---|---|
网络内网安全 | 桌面管理系统 | 大于1000条 |
防病毒系统 | 防病毒服务器、防病毒网管 | 50000条 |
网络安全 | 交换机、路由器 | 大于1000条 |
IDS/IPS | 大于500000条 | |
防火墙、堡垒机 | 大于2000000条 | |
保护关键业务 | 主机审计、应用审计 | 大于100000条 |
我们通过现有的日志采集技术收集这些日志难度并不大,然而安全人员很难在短时间内识别出海量安全事件之间内部端倪,分析日志相关性更是无从下手。此时我们需要一种技术能够帮助我们实现从海量日志数据处理分析后能自动得到网络异常报警,这样才能提高安全团队发现网络威胁的效率。
【相关技术文档】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记
二、网络关联分析技术
面对上述问题,可以关联分析平台来解决问题,这种平台可以为我们集中展示网络安全各方面的概况,同时还提供有实时监视和事件关联、风险分析、报告、通知功能,可在企业范围内全面管理、审计安全事务,大大提高了网络安全风险识别能力。关联分析平台依托关联分析核心技术集中在:日志收集、日志格式化(也叫做归一化)、日志关联分析3个方面。
1.日志收集:一个SIM产品是否有优势,就要看日志收集,能否支持更多的类型,能否容易扩展,自动识别支持未知设备日志。例如需要支持的协议有syslog、snmp trap、windows log、database、file、xml、soap等。
2.日志格式化:日志收集之后,需要格式化统一标准,这些统一格式会在原有日志基础上附加风险值、可靠性、优先级等标签,为后面的关联分析做准备,如果格式化不够标准,关联分析无法实现。以下是归一化格式:
下面以SSH原始日志和标准化日志的前后对比:
可以看出SSH暴力破解事件比原始日志多了许多元素,但这些增加项可以为今后日志关联分析做好了准备。
三、日志关联分析
在日志格式化基础之上通过一定算法(上下文关联、攻击场景关联等)从多个数据源获取事件进行关联分析,实现不同日志的风险值,并结合资产的漏洞信息以及进出流量综合计算出网络资产受威胁程度,最后发出报警,以便提醒管理员。这就大大降低了管理员分析海量日志的难度。
为了达到安全事件关联分析的目的,就要有好的事件处理机制,比如前面讲的日志收集的归一化处理,还得有好的关联方法,而且不止一种关联方法,将多种实时关联方法结合到一起效果更佳。大量标准化处理的事件被送入关联引擎处理后,它们会经历事件分类处理、聚合、交叉关联、启发式关联等多种关联方法,系统会根据数据库中的安全事件进行统计分类。
下面我们再看个关联分析场景:
(1)比如在VPN服务器日志显示张三3:00点钟,从外网登录到内部网,3:05分登录FTP服务器,并在FTP服务器上下载了某一文件。在门禁系统的日志显示张三在不久前刚刚进入办公区域,这三个日志可以关联出一个安全事件。
(2)某公司核心数据库前端部署了防火墙系统,某日安全系统监测发现张三登录了MySQL数据库服务器,但是在防火墙日志中并没有发现张三的访问日志,则说明张三很有可能绕过防火墙直接去登录数据库服务器。