摘要：傳統(tǒng)的網(wǎng)絡(luò)安全技術(shù)如防火墻（Firewall），入侵檢測(cè)系統(tǒng)(IDS)，入侵檢測(cè)防御系統(tǒng)（IPS）等面臨著新的問題。針對(duì)這些問題，安全事件管理器作為一種新的網(wǎng)絡(luò)安全防護(hù)技術(shù)，成為網(wǎng)絡(luò)安全研究領(lǐng)域的熱點(diǎn)，本文主要介紹了安全事件管理器技術(shù)的概念，應(yīng)用技術(shù)及其最新的研發(fā)趨勢(shì)。

關(guān)鍵詞：安全事件管理器；網(wǎng)絡(luò)安全

中圖分類號(hào)：TP393文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1009-3044(2008)08-10ppp-0c

1 相關(guān)背景

隨著網(wǎng)絡(luò)應(yīng)用的發(fā)展，網(wǎng)絡(luò)信息安全越來越成為人們關(guān)注的焦點(diǎn)，同時(shí)網(wǎng)絡(luò)安全技術(shù)也成為網(wǎng)絡(luò)技術(shù)研究的熱點(diǎn)領(lǐng)域之一。到目前為止，得到廣泛應(yīng)用的網(wǎng)絡(luò)安全技術(shù)主要有防火墻（Firewall），IDS，IPS系統(tǒng)，蜜罐系統(tǒng)等，這些安全技術(shù)在網(wǎng)絡(luò)安全防護(hù)方面發(fā)揮著重要的作用。但是隨著網(wǎng)絡(luò)新應(yīng)用的不斷發(fā)展，這些技術(shù)也受到越來越多的挑戰(zhàn)，出現(xiàn)了不少的問題，主要體現(xiàn)在以下三個(gè)方面：

(1)眾多異構(gòu)環(huán)境下的安全設(shè)備每天產(chǎn)生大量的安全事件信息，海量的安全事件信息難以分析和處理。

(2)網(wǎng)絡(luò)安全應(yīng)用的發(fā)展，一個(gè)組織內(nèi)可能設(shè)置的各種安全設(shè)備之間無法信息共享，使得安全管理人員不能及時(shí)掌網(wǎng)絡(luò)的安全態(tài)勢(shì)。

(3)組織內(nèi)的各種安全設(shè)備都針對(duì)某一部分的網(wǎng)絡(luò)安全威脅而設(shè)置，整個(gè)組織內(nèi)各安全設(shè)備無法形成一個(gè)有效的，整合的安全防護(hù)功能。

針對(duì)以上問題，安全事件管理器技術(shù)作為一種新的網(wǎng)絡(luò)安全防護(hù)技術(shù)被提出來了，與其它的網(wǎng)絡(luò)安全防護(hù)技術(shù)相比，它更強(qiáng)調(diào)對(duì)整個(gè)組織網(wǎng)絡(luò)內(nèi)的整體安全防護(hù)，側(cè)重于各安全設(shè)備之間的信息共享與信息關(guān)聯(lián)，從而提供更為強(qiáng)大的，更易于被安全人員使用的網(wǎng)絡(luò)安全保護(hù)功能。

2 安全事件管理器的概念與架構(gòu)

2.1 安全事件管理器概念

安全事件管理器的概念主要側(cè)重于以下二個(gè)方面：

(1)整合性：現(xiàn)階段組織內(nèi)部安裝的多種安全設(shè)備隨時(shí)產(chǎn)生大量的安全事件信息，安全事件管理器技術(shù)注重將這些安全事件信息通過各種方式整合在一起，形成統(tǒng)一的格式，有利于安全管理人員及時(shí)分析和掌握網(wǎng)絡(luò)安全動(dòng)態(tài)。同時(shí)統(tǒng)一的、格式化的安全事件信息也為專用的，智能化的安全事件信息分析工具提供了很有價(jià)值的信息源。

(2)閉環(huán)性：現(xiàn)有的安全防護(hù)技術(shù)大都是針對(duì)安全威脅的某一方面的威脅而采取防護(hù)。因此它們只關(guān)注某一類安全事件信息，然后作出判斷和動(dòng)作。隨著網(wǎng)絡(luò)入侵和攻擊方式的多樣化，這些技術(shù)會(huì)出現(xiàn)一些問題，主要有誤報(bào)，漏報(bào)等。這些問題的主要根源來自于以上技術(shù)只側(cè)重對(duì)某一類安全事件信息分析，不能與其它安全設(shè)備產(chǎn)生的信息進(jìn)行關(guān)聯(lián)，從而造成誤判。安全事件管理器從這個(gè)角度出發(fā)，通過對(duì)組織內(nèi)各安全設(shè)備產(chǎn)生的信息進(jìn)行整合和關(guān)聯(lián)，實(shí)現(xiàn)對(duì)安全防護(hù)的閉環(huán)自反饋系統(tǒng)，達(dá)到對(duì)網(wǎng)絡(luò)安全態(tài)勢(shì)更準(zhǔn)確的分析判斷結(jié)果。

從以上二個(gè)方面可以看出，安全事件管理器并沒有提供針對(duì)某類網(wǎng)絡(luò)安全威脅直接的防御和保護(hù)，它是通過整合，關(guān)聯(lián)來自不同設(shè)備的安全事件信息，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)安全狀況準(zhǔn)確的分析和判斷，從而實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)更有效的安全保護(hù)。

2.2 安全事件管理器的架構(gòu)

安全事件管理器的架構(gòu)主要如下圖所示。

圖1 安全事件事件管理系統(tǒng)結(jié)構(gòu)與設(shè)置圖

從圖中可以看出安全事件管理主要由三個(gè)部分組成的：安全事件信息的數(shù)據(jù)庫：主要負(fù)責(zé)安全事件信息的收集、格式化和統(tǒng)一存儲(chǔ)；而安全事件分析服務(wù)器主要負(fù)責(zé)對(duì)安全事件信息進(jìn)行智能化的分析，這部分是安全事件管理系統(tǒng)的核心部分，由它實(shí)現(xiàn)對(duì)海量安全事件信息的統(tǒng)計(jì)和關(guān)聯(lián)分析，形成多層次、多角度的閉環(huán)監(jiān)控系統(tǒng)；安全事件管理器的終端部分主要負(fù)責(zé)圖形界面，用于用戶對(duì)安全事件管理器的設(shè)置和安全事件警報(bào)、查詢平臺(tái)。

3 安全事件管理器核心技術(shù)

3.1 數(shù)據(jù)抽取與格式化技術(shù)

數(shù)據(jù)抽取與格式化技術(shù)是安全事件管理器的基礎(chǔ)，只要將來源不同的安全事件信息從不同平臺(tái)的設(shè)備中抽取出來，并加以格式化成為統(tǒng)一的數(shù)據(jù)格式，才可以實(shí)現(xiàn)對(duì)安全設(shè)備產(chǎn)生的安全事件信息進(jìn)行整合、分析。而數(shù)據(jù)的抽取與格式化主要由兩方面組成，即數(shù)據(jù)源獲取數(shù)據(jù)，數(shù)據(jù)格式化統(tǒng)一描述。

從數(shù)據(jù)源獲取數(shù)據(jù)主要的途徑是通過對(duì)網(wǎng)絡(luò)中各安全設(shè)備的日志以及設(shè)備數(shù)據(jù)庫提供的接口來直接獲取數(shù)據(jù)，而獲取的數(shù)據(jù)都是各安全設(shè)備自定義的，所以要對(duì)數(shù)據(jù)要采用統(tǒng)一的描述方式進(jìn)行整理和格式化，目前安全事件管理器中采用的安全事件信息表達(dá)格式一般采用的是基于XML語言來描述的，因?yàn)閄ML語言是一種與平臺(tái)無關(guān)的標(biāo)記描述語言，采用文本方式，因而通過它可以實(shí)現(xiàn)對(duì)安全事件信息的統(tǒng)一格式的描述后，跨平臺(tái)實(shí)現(xiàn)對(duì)安全事件信息的共享與交互。

3.2 關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)

關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)是安全事件管理器的功能核心，安全事件管理器強(qiáng)調(diào)是多層次與多角度的對(duì)來源不同安全設(shè)備的監(jiān)控信息進(jìn)行分析，因此安全事件管理器的分析功能也由多種技術(shù)組成，其中主要的是關(guān)聯(lián)分析技術(shù)與統(tǒng)計(jì)分析技術(shù)。

關(guān)聯(lián)分析技術(shù)主要是根據(jù)攻擊者入侵網(wǎng)絡(luò)可能會(huì)同時(shí)在不同的安全設(shè)備上留下記錄信息，安全事件管理器通過分析不同的設(shè)備在短時(shí)間內(nèi)記錄的信息，在時(shí)間上的順序和關(guān)聯(lián)可有可能準(zhǔn)備地分析出結(jié)果。而統(tǒng)計(jì)分析技術(shù)則是在一段時(shí)間內(nèi)對(duì)網(wǎng)絡(luò)中記錄的安全事件信息按屬性進(jìn)行分類統(tǒng)計(jì)，當(dāng)某類事件在一段時(shí)間內(nèi)發(fā)生頻率異常，則認(rèn)為網(wǎng)絡(luò)可能面臨著安全風(fēng)險(xiǎn)危險(xiǎn)，這是一種基于統(tǒng)計(jì)知識(shí)的分析技術(shù)。與關(guān)聯(lián)分析技術(shù)不同的是，這種技術(shù)可以發(fā)現(xiàn)不為人知的安全攻擊方式，而關(guān)聯(lián)分析技術(shù)則是必須要事先確定關(guān)聯(lián)規(guī)則，也就是了解入侵攻擊的方式才可以實(shí)現(xiàn)準(zhǔn)確的發(fā)現(xiàn)和分析效果。

4 安全事件管理器未來的發(fā)展趨勢(shì)

目前安全事件管理器的開發(fā)已經(jīng)在軟件產(chǎn)業(yè)，特別是信息安全產(chǎn)業(yè)中成為了熱點(diǎn)，并形成一定的市場(chǎng)。國內(nèi)外主要的一些在信息安全產(chǎn)業(yè)有影響的大公司如： IBM和思科公司都有相應(yīng)的產(chǎn)品推出，在國內(nèi)比較有影響是XFOCUS的OPENSTF系統(tǒng)。

從總體上看，隨著網(wǎng)絡(luò)入侵手段的復(fù)雜化以及網(wǎng)絡(luò)安全設(shè)備的多樣化，造成目前網(wǎng)絡(luò)防護(hù)中的木桶現(xiàn)象，即網(wǎng)絡(luò)安全很難形成全方面的、有效的整體防護(hù)，其中任何一個(gè)設(shè)備的失誤都可能會(huì)造成整個(gè)防護(hù)系統(tǒng)被突破。

從技術(shù)發(fā)展來看，信息的共享是網(wǎng)絡(luò)安全防護(hù)發(fā)展的必然趨勢(shì)，網(wǎng)絡(luò)安全事件管理器是采用安全事件信息共享的方式，將整個(gè)網(wǎng)絡(luò)的安全事件信息集中起來，進(jìn)行分析，達(dá)到融合現(xiàn)有的各種安全防護(hù)技術(shù)，以及未來防護(hù)技術(shù)兼容的優(yōu)勢(shì)，從而達(dá)到更準(zhǔn)備和有效的分析與判斷效果。因此有理由相信，隨著安全事件管理器技術(shù)的進(jìn)一步發(fā)展，尤其是安全事件信息分析技術(shù)的發(fā)展，安全事件管理器系統(tǒng)必然在未來的信息安全領(lǐng)域中占有重要的地位。

參考文獻(xiàn)：

[1]賈小晶，李建華，張少俊.基于規(guī)則的分層式安全事件管理[J].信息安全與通信保密，2005，(02).

[2]沈星星，程學(xué)旗.基于數(shù)據(jù)流管理平臺(tái)的網(wǎng)絡(luò)安全事件監(jiān)控系統(tǒng)[J].小型微型計(jì)算機(jī)系統(tǒng)，2006，27(2).