- 論壇徽章:
- 6
|
本帖最后由 cgweb 于 2016-04-06 10:44 編輯
OSSIM平臺安全事件關(guān)聯(lián)分析實踐
在《開源安全運維平臺OSSIM最佳實踐》一書中敘述到�����,事件關(guān)聯(lián)是整個OSSIM關(guān)聯(lián)分析的核心�,對于OSSIM的事件關(guān)聯(lián)需要海量處理能力,主要便于現(xiàn)在需要及時存儲從設(shè)備采集到的日志���,并能關(guān)聯(lián)匹配和輸出�,進而通過Web UI展示���。從實時性上看���,關(guān)聯(lián)分析的整個處理過程不能間斷�����,這對系統(tǒng)的實時性要求較高�,另外Ossim系統(tǒng)是基于規(guī)則的�,Ossim內(nèi)部具有多套高速規(guī)則分析引擎,以實現(xiàn)模式匹配和對關(guān)聯(lián)分析結(jié)果調(diào)用��。所以系統(tǒng)的關(guān)聯(lián)引擎是一個典型數(shù)據(jù)處理系統(tǒng)��,必須依靠強大的數(shù)據(jù)庫做支撐���,在開源OSSIM系統(tǒng)中就采用了基于MySQL5.6數(shù)據(jù)庫的數(shù)據(jù)庫����,在商業(yè)版采用MonogDB��。
普通日志存入數(shù)據(jù)庫較容易�,但如果是關(guān)聯(lián)引擎將報警存入數(shù)據(jù)庫的過程要復雜,到底它的壓力在哪兒�����?例如一個關(guān)聯(lián)規(guī)則需要在1秒鐘內(nèi),通過SQL語句獲取10條數(shù)據(jù)����,那么關(guān)聯(lián)引擎就需要在1秒鐘內(nèi)進行10次磁盤存取,這個要求就比普通日志存入數(shù)據(jù)庫高���,而OSSIM數(shù)據(jù)庫中的表���、字段�、索引都為了這種事務(wù)處理進行特殊設(shè)置,具有一次寫多次讀的特性����。對于復雜模式的匹配非常有用,例如�����,篩選出1分鐘內(nèi)SSH登錄服務(wù)器��,失敗次數(shù)超過5次的源IP地址����,關(guān)聯(lián)分析引擎將定時進行SQL訪問����,找到某個符合要求的事件記錄�����。
許多安全管理者抱怨���,已經(jīng)設(shè)置了防火墻����、入侵檢測����、防病毒系統(tǒng)、網(wǎng)管軟件�����,為什么網(wǎng)絡(luò)安全管理仍很麻煩�����。當前網(wǎng)絡(luò)安全管理者面臨如下挑戰(zhàn):
1) 安全設(shè)備和網(wǎng)絡(luò)應用產(chǎn)生的安全事件數(shù)量巨大,IDS誤報嚴重�����。一臺IDS系統(tǒng)�,一天產(chǎn)生的安全事件數(shù)量成千上萬,通常99%的安全事件屬于誤報�����,而少量真正存在威脅的安全事件淹沒在誤報信息中���,難以識別�。
2) 安全事件之間存在的橫向和縱向方面(如不同空間來源���、時間序列等)的關(guān)系未能得到綜合分析,因此漏報嚴重��,不能實現(xiàn)實時預測�����。一個攻擊活動之后常常接著另一個攻擊活動�,前一個攻擊活動為后者提供基本條件;一個攻擊活動在多個安全設(shè)備上產(chǎn)生了安全事件;多個不同來源的安全事件其實是一次協(xié)作攻擊�,這些都缺乏有效的綜合分析。
3) 安全管理者缺乏對整個網(wǎng)絡(luò)安全態(tài)勢的全局實時感知能力�����。
充分利用多種安全設(shè)備的檢測能力��,集中處理的致命弱點是待分析處理的數(shù)據(jù)量巨大�����,那些龐大冗余�,獨立分散,安全事件顯然不能直接作為響應依據(jù)�,同時網(wǎng)絡(luò)安全防護也有實時性要求,上述問題的根本解決途徑是網(wǎng)絡(luò)安全事件關(guān)聯(lián)處理��,到底什么是關(guān)聯(lián)分析呢�����,有幾個基本的概念大家需要了解�。
1) 安全事件:本書一開始就提到了安全事件,包括服務(wù)器安全日志����,重要應用的告警以及日志���。
2) 數(shù)據(jù)源(DateSource),數(shù)據(jù)源是安全事件的來源�,這里包括防火墻、入侵檢測系統(tǒng)���,重要主機��、路由交換設(shè)備的日志�����。
3) 數(shù)據(jù)關(guān)聯(lián):將多個數(shù)據(jù)源的數(shù)據(jù)進行聯(lián)合(Association)���、相關(guān)(Correlation)或組合(Combination)分析,以獲得高質(zhì)量的信息���。它將不同空間設(shè)備的日志,不同時間序列存在的問題進過特定關(guān)聯(lián)方法結(jié)合在一起�,最終確定工具的分析方法。當然這些只是廣義的安全事件關(guān)聯(lián)方法��,后面章節(jié)還會專門針對OSSIM講解具體的規(guī)則。
4) 交叉關(guān)聯(lián):它是最常見的數(shù)據(jù)關(guān)聯(lián)方式���,可以將安全事件與網(wǎng)絡(luò)拓撲��、系統(tǒng)開放的服務(wù)����、設(shè)備存在的漏洞進行關(guān)聯(lián)匹配�,以分析攻擊成功的可能性。利用這種關(guān)聯(lián)方法可以在OSSIM系統(tǒng)中關(guān)聯(lián)規(guī)則檢測到某些威脅����,并實現(xiàn)自動響應(比如發(fā)出告警等)。
下面舉幾個異常實例:
完整性方面�,文件完整監(jiān)控工具發(fā)現(xiàn)系統(tǒng)中l(wèi)s、ps�、netstat、su等程序大小和所有者被改變���,可判斷受到攻擊��;系統(tǒng)方面����,用戶賬號被修改及一些不能解釋的異常登錄行為,在不可能的地方出現(xiàn)了新的文件��、目錄或者丟失了文件�、目錄大小急速增大、驟然減小�����、MD5簽名不匹配���,這些跡象都說明明系統(tǒng)已遭受入侵��。日志方面����,系統(tǒng)日志縮減���,日志中出現(xiàn)了不明條目�、異常的中斷消息都說明了系統(tǒng)遭受入侵���。流量方面,若干節(jié)點大規(guī)模流量增大則可能遭受拒絕服務(wù)攻擊���。
4-5.jpg (81.23 KB, 下載次數(shù): 112)
下載附件
2016-04-06 10:39 上傳
4-5-1.jpg (96.74 KB, 下載次數(shù): 96)
下載附件
2016-04-06 10:39 上傳
為了達到安全事件關(guān)聯(lián)分析的目的��,就要有好的事件處理機制���,比如前面講的日志收集的歸一化處理�����,還得有好的關(guān)聯(lián)方法���,而且不止一種關(guān)聯(lián)方法,將多種實時關(guān)聯(lián)方法結(jié)合到一起效果更佳��。大量標準化處理的事件被送入關(guān)聯(lián)引擎處理后�,它們會經(jīng)歷事件分類處理、聚合��、交叉關(guān)聯(lián)����、啟發(fā)式關(guān)聯(lián)等多種關(guān)聯(lián)方法,系統(tǒng)會根據(jù)數(shù)據(jù)庫中的安全事件進行統(tǒng)計分類���,找出經(jīng)常導致安全事件的發(fā)源地和經(jīng)常被攻擊的端口�����,在這些階段都會產(chǎn)生事件告警�����,其安全事件關(guān)聯(lián)過程模塊�����,為了更加詳細了解安全事件關(guān)聯(lián)分析原理和實踐�,請參閱《開源安全運維平臺-OSSIM最佳實踐》。 |
|
免費注冊
發(fā)表于 2016-04-06 10:39