安全事件管理器——一種新的網絡安全防護技術

摘要：傳統的網絡安全技術如防火墻（Firewall），入侵檢測系統(IDS)，入侵檢測防御系統（IPS）等面臨著新的問題。針對這些問題，安全事件管理器作為一種新的網絡安全防護技術，成為網絡安全研究領域的熱點，本文主要介紹了安全事件管理器技術的概念，應用技術及其最新的研發趨勢。

關鍵詞：安全事件管理器；網絡安全

中圖分類號：TP393文獻標識碼：A文章編號：1009-3044(2008)08-10ppp-0c

1 相關背景

隨著網絡應用的發展，網絡信息安全越來越成為人們關注的焦點，同時網絡安全技術也成為網絡技術研究的熱點領域之一。到目前為止，得到廣泛應用的網絡安全技術主要有防火墻（Firewall），IDS，IPS系統，蜜罐系統等，這些安全技術在網絡安全防護方面發揮著重要的作用。但是隨著網絡新應用的不斷發展，這些技術也受到越來越多的挑戰，出現了不少的問題，主要體現在以下三個方面：

(1)眾多異構環境下的安全設備每天產生大量的安全事件信息，海量的安全事件信息難以分析和處理。

(2)網絡安全應用的發展，一個組織內可能設置的各種安全設備之間無法信息共享，使得安全管理人員不能及時掌網絡的安全態勢。

(3)組織內的各種安全設備都針對某一部分的網絡安全威脅而設置，整個組織內各安全設備無法形成一個有效的，整合的安全防護功能。

針對以上問題，安全事件管理器技術作為一種新的網絡安全防護技術被提出來了，與其它的網絡安全防護技術相比，它更強調對整個組織網絡內的整體安全防護，側重于各安全設備之間的信息共享與信息關聯，從而提供更為強大的，更易于被安全人員使用的網絡安全保護功能。

2 安全事件管理器的概念與架構

2.1 安全事件管理器概念

安全事件管理器的概念主要側重于以下二個方面：

(1)整合性：現階段組織內部安裝的多種安全設備隨時產生大量的安全事件信息，安全事件管理器技術注重將這些安全事件信息通過各種方式整合在一起，形成統一的格式，有利于安全管理人員及時分析和掌握網絡安全動態。同時統一的、格式化的安全事件信息也為專用的，智能化的安全事件信息分析工具提供了很有價值的信息源。

(2)閉環性：現有的安全防護技術大都是針對安全威脅的某一方面的威脅而采取防護。因此它們只關注某一類安全事件信息，然后作出判斷和動作。隨著網絡入侵和攻擊方式的多樣化，這些技術會出現一些問題，主要有誤報，漏報等。這些問題的主要根源來自于以上技術只側重對某一類安全事件信息分析，不能與其它安全設備產生的信息進行關聯，從而造成誤判。安全事件管理器從這個角度出發，通過對組織內各安全設備產生的信息進行整合和關聯，實現對安全防護的閉環自反饋系統，達到對網絡安全態勢更準確的分析判斷結果。

從以上二個方面可以看出，安全事件管理器并沒有提供針對某類網絡安全威脅直接的防御和保護，它是通過整合，關聯來自不同設備的安全事件信息，實現對網絡安全狀況準確的分析和判斷，從而實現對網絡更有效的安全保護。

2.2 安全事件管理器的架構

安全事件管理器的架構主要如下圖所示。

圖1 安全事件事件管理系統結構與設置圖

從圖中可以看出安全事件管理主要由三個部分組成的：安全事件信息的數據庫：主要負責安全事件信息的收集、格式化和統一存儲；而安全事件分析服務器主要負責對安全事件信息進行智能化的分析，這部分是安全事件管理系統的核心部分，由它實現對海量安全事件信息的統計和關聯分析，形成多層次、多角度的閉環監控系統；安全事件管理器的終端部分主要負責圖形界面，用于用戶對安全事件管理器的設置和安全事件警報、查詢平臺。

3 安全事件管理器核心技術

3.1 數據抽取與格式化技術

數據抽取與格式化技術是安全事件管理器的基礎，只要將來源不同的安全事件信息從不同平臺的設備中抽取出來，并加以格式化成為統一的數據格式，才可以實現對安全設備產生的安全事件信息進行整合、分析。而數據的抽取與格式化主要由兩方面組成，即數據源獲取數據，數據格式化統一描述。

從數據源獲取數據主要的途徑是通過對網絡中各安全設備的日志以及設備數據庫提供的接口來直接獲取數據，而獲取的數據都是各安全設備自定義的，所以要對數據要采用統一的描述方式進行整理和格式化，目前安全事件管理器中采用的安全事件信息表達格式一般采用的是基于XML語言來描述的，因為XML語言是一種與平臺無關的標記描述語言，采用文本方式，因而通過它可以實現對安全事件信息的統一格式的描述后，跨平臺實現對安全事件信息的共享與交互。

3.2 關聯分析技術與統計分析技術

關聯分析技術與統計分析技術是安全事件管理器的功能核心，安全事件管理器強調是多層次與多角度的對來源不同安全設備的監控信息進行分析，因此安全事件管理器的分析功能也由多種技術組成，其中主要的是關聯分析技術與統計分析技術。

關聯分析技術主要是根據攻擊者入侵網絡可能會同時在不同的安全設備上留下記錄信息，安全事件管理器通過分析不同的設備在短時間內記錄的信息，在時間上的順序和關聯可有可能準備地分析出結果。而統計分析技術則是在一段時間內對網絡中記錄的安全事件信息按屬性進行分類統計，當某類事件在一段時間內發生頻率異常，則認為網絡可能面臨著安全風險危險，這是一種基于統計知識的分析技術。與關聯分析技術不同的是，這種技術可以發現不為人知的安全攻擊方式，而關聯分析技術則是必須要事先確定關聯規則，也就是了解入侵攻擊的方式才可以實現準確的發現和分析效果。

4 安全事件管理器未來的發展趨勢

目前安全事件管理器的開發已經在軟件產業，特別是信息安全產業中成為了熱點，并形成一定的市場。國內外主要的一些在信息安全產業有影響的大公司如： IBM和思科公司都有相應的產品推出，在國內比較有影響是XFOCUS的OPENSTF系統。

從總體上看，隨著網絡入侵手段的復雜化以及網絡安全設備的多樣化，造成目前網絡防護中的木桶現象，即網絡安全很難形成全方面的、有效的整體防護，其中任何一個設備的失誤都可能會造成整個防護系統被突破。

從技術發展來看，信息的共享是網絡安全防護發展的必然趨勢，網絡安全事件管理器是采用安全事件信息共享的方式，將整個網絡的安全事件信息集中起來，進行分析，達到融合現有的各種安全防護技術，以及未來防護技術兼容的優勢，從而達到更準備和有效的分析與判斷效果。因此有理由相信，隨著安全事件管理器技術的進一步發展，尤其是安全事件信息分析技術的發展，安全事件管理器系統必然在未來的信息安全領域中占有重要的地位。

參考文獻：

[1]賈小晶，李建華，張少俊.基于規則的分層式安全事件管理[J].信息安全與通信保密，2005，(02).

[2]沈星星，程學旗.基于數據流管理平臺的網絡安全事件監控系統[J].小型微型計算機系統，2006，27(2).