【文章內(nèi)容簡介】 序號 采集方式 采集內(nèi)容 1 SYSLOG 收集安全告警日志，主要是從入侵監(jiān)測系統(tǒng)、網(wǎng)絡(luò)行為監(jiān)測系統(tǒng)、病毒監(jiān)測系統(tǒng)、郵件安全監(jiān)測系統(tǒng)、 Web 應(yīng)用安全監(jiān)測系統(tǒng)、僵尸網(wǎng)絡(luò)監(jiān)測系統(tǒng)、防火墻等安全設(shè)備和安全系統(tǒng)上收集報警日志； 2 SNMP Trap 收集安全告警日志，當安全設(shè)備不支持 SYSLOG 輸出，而支持SNMP Trap輸出時，該平臺支持通過 SNMP TRAP 方式收集安全告警日志； 3 SNMP 輪巡 支持 SNMP 服務(wù)的設(shè)備進行拓撲自動發(fā)現(xiàn)； 針對網(wǎng)絡(luò)設(shè)備，從設(shè)備的 MIB 庫中獲取設(shè)備配置信息、運行信息、等數(shù)據(jù)； 針對操作系統(tǒng)，從操作系統(tǒng)的 MIB 中獲取系統(tǒng)的靜態(tài)配置信息； 4 Tel/SSH 負責(zé)從 Unix、 Linux 服務(wù)器上采集與操作系統(tǒng)有關(guān)的運行信息，包括： CPU 動態(tài)信息、內(nèi)存動態(tài)信息、系統(tǒng)進程動態(tài)信息、硬盤動態(tài)信息、用戶訪問信息等； 5 專用 Agent 負責(zé)從 Windows 服務(wù)器 上采集與操作系統(tǒng)有關(guān)的運行 信息，包括： CPU 動態(tài)信息、內(nèi)存動態(tài)信息、系統(tǒng)進程動態(tài)信息、硬盤動態(tài)信息、用戶訪問信息等； 6 HTTP 用于對業(yè)務(wù)系統(tǒng)的可用性進行監(jiān)控； 負責(zé)從中間件采集 會話動態(tài)信息、進程池動態(tài)信息、 JDBC連接池動態(tài)信息等； 7 JMX 從中間件采集 會話動態(tài)信息、進程池動態(tài)信息、 JDBC 連接池動態(tài)信息等； 9 ODBC 從數(shù)據(jù)庫中直接采集數(shù)據(jù)庫相關(guān)信息，包括：數(shù)據(jù)庫版本、字符集、配置的臨時表大小、臨時表目錄、數(shù)據(jù)表信息、緩存信息、線程信息、鎖信息、頁和行鎖信息等； 10 SOAP/XML 負責(zé)與第三方產(chǎn)品使用相 關(guān)協(xié)議交互數(shù)據(jù)使用； 數(shù)據(jù)格式標準化 NetEye 安全管理平臺 系統(tǒng) 解決了各個 IT 系統(tǒng)造成的海量數(shù)據(jù)和信息孤島的困擾，整體上簡化了安全管理的數(shù)據(jù)模型。該平臺將從包括主機系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)、業(yè)務(wù)系統(tǒng)、數(shù)據(jù)庫系統(tǒng)、安全系統(tǒng)在內(nèi)的各 IT系統(tǒng)收到的安全事件按照統(tǒng)一格式進行標準化處理，存儲到一個通用數(shù)據(jù)庫中，為平臺后期根據(jù)定制的安全策略分析數(shù)據(jù)提供基礎(chǔ)。 該平臺對安全信息經(jīng)過標準化后的內(nèi)容包括： ? 事件編號：產(chǎn)生安全事件的序列號； ? 事件名稱：該事件的名稱； ? 資產(chǎn)名稱：發(fā)現(xiàn)事件的資產(chǎn)名稱； ? 事件類別：安全事件的所屬類別 ，如：拒絕服務(wù)、非授權(quán)訪問、緩沖區(qū)溢出、網(wǎng)絡(luò)協(xié)議等； ? 緊急程度：該事件的嚴重級別； ? 事件內(nèi)容：該事件的具體內(nèi)容； ? 事件發(fā)生時間：該事件發(fā)生的具體時間； ? 協(xié)議：該事件所使用的協(xié)議； ? 源 IP/源端口：發(fā)生該事件相關(guān)的源 IP/源端口； ? 目的 IP/目的端口：發(fā)生該事件相關(guān)的目的 IP/目的端口； ? 保留字段：可擴充的其他內(nèi)容。 數(shù)據(jù)分析 數(shù)據(jù)分析模塊，實現(xiàn)對原始數(shù)據(jù)的核心處理。為了提高 NetEye 安全管理平臺系統(tǒng)數(shù)據(jù)分析的準確性，該平臺能夠自動對收集上來的安全告警日志數(shù)據(jù)進行一定的關(guān)聯(lián)分析處理，幫助用戶發(fā)現(xiàn)有效的安全事 件。同時，該平臺設(shè)計提供自定義關(guān)聯(lián)規(guī)則的界面，以便給用戶提供更大的監(jiān)控選擇空間。 該平臺系統(tǒng)實現(xiàn)了五種關(guān)聯(lián)分析機制： (一 ) 基于統(tǒng)計的關(guān)聯(lián)分析； (二 ) 基于規(guī)則的關(guān)聯(lián)分析； (三 ) 基于資產(chǎn)、脆弱性的關(guān)聯(lián)分析； (四 ) 事件溯源 關(guān)聯(lián)分析 (五 ) 與工單系統(tǒng)關(guān)聯(lián) 無論是哪一種關(guān)聯(lián)分析方法，都需要具備一個基礎(chǔ)的模型框架作為工作基礎(chǔ)，本平臺所設(shè)計的關(guān)聯(lián)分析過程的數(shù)據(jù)流向以及各個模塊間的交互關(guān)系如下圖所示： 各個節(jié)點模塊的概念及功能說明如下： Cental Manager(CM)：關(guān)聯(lián)分 析模塊的中央管理，既是控制中心，又是服務(wù)中心。 CM 作為控制中心，提供了對整個模塊中各進程的實時監(jiān)控和配置管理接口。 CM 作為服務(wù)中心，提供了兩大類服務(wù)：一、數(shù)據(jù)服務(wù)；二、告警服務(wù)。 Aggregation Engine(AE)：聚合引擎，根據(jù)事件的關(guān)鍵詞檢查并標明一系列事件的等同性。 Vulnerability Correlation(VCE)：脆弱性關(guān)聯(lián)，檢查并標明事件所隱含的脆弱性信息。 AE AE Central Manager DB Agent Agent Agent Desktop RC Engine fail over RPC Socket JDBC Mixed VC Engine WebServer Agent Rulebased Correlation(RCE)：規(guī)則關(guān)聯(lián)，使用一系列自定義規(guī)則將一系列事件關(guān)聯(lián)起來形成意義更完 整的新事件。 Agent：原始日志采集代理，根據(jù)不同的采集方式，使用不同的采集代理進程。 (一 ) 基于統(tǒng)計的關(guān)聯(lián)分析 基于統(tǒng)計的關(guān)聯(lián)分析，主要的依賴對象是關(guān)聯(lián)分析框架模型中的聚合引擎。 聚合引擎（ Aggregation Engine， AE）是處于收集代理之上第一層事件處理引擎。同時，聚合引擎的輸出將作為其它高級關(guān)聯(lián)引擎（例如規(guī)則關(guān)聯(lián)引擎、脆弱性關(guān)聯(lián)引擎）的輸入。 聚合引擎負責(zé)初級的分析和聚合工作。 AE 接受多個代理發(fā)送的規(guī)范化的安全事件，根據(jù)事件的聚合條件（ Criteria），檢驗并聚合事件，最后根據(jù)結(jié)果類型，將聚合 后的事件發(fā)送到后續(xù)的高級關(guān)聯(lián)引擎（ Correlation Engine）。 聚合引擎根據(jù)事件的關(guān)鍵詞序列將同一系列的事件進行聚合。關(guān)鍵詞序列存儲在數(shù)據(jù)庫中。兩個以上事件如果關(guān)鍵詞一致，認為是等同事件。一批等同事件，如果首尾發(fā)生的時間間隔小于該類事件的最大聚合間隔，則認為這批等同事件屬于聚合事件。發(fā)生聚合時，首一事件的聚合次數(shù)被設(shè)置為聚合事件的個數(shù)，并代替其余事件向后續(xù)關(guān)聯(lián)引擎?zhèn)鞑ァ? 此外，聚合引擎還負責(zé)將事件新增到數(shù)據(jù)庫中，并在聚合發(fā)生時，更新事件的聚合次數(shù)以及蔓延時間等聚合信息。 s t a r t日志收集格式化發(fā)送事件 獲取關(guān)鍵詞檢索前一事件設(shè)置聚合信息發(fā)送聚合事件保存事件無或者超時更新事件 發(fā)送事件檢索關(guān)鍵詞e n d[ 隔一定時間 ]c o r r e l a t i o n : E n g i n ek e r n e l : P Ka g g r e g a t e : A Ea g e n t : A G 事件被接收后，進行聚 合處理，未聚合成功的事件保持 Normal 狀態(tài)，發(fā)生聚合的事件設(shè)置聚合標志后，每隔一定時間后，由定時線程繼續(xù)發(fā)送到后續(xù)關(guān)聯(lián)引擎。 從事件的流量上看，聚合引擎起到了一定的流量衰減作用。具體表現(xiàn)為， m 個事件發(fā)生聚合時，設(shè)入口流量為 m，出口流量為 n，則 mn??2 。 (二 ) 基于規(guī)則的關(guān)聯(lián) 分析 所謂規(guī)則關(guān)聯(lián)分析（ Rulebased Correlation， RC），是通過規(guī)則關(guān)聯(lián)引擎（ Rulebased Correlation Engine， RCE）來實現(xiàn)的，規(guī)則關(guān)聯(lián)引擎接收來自收集代 理的原始安全信息（即格式化以后的安全日志，也稱為原始安全事件），根據(jù)預(yù)定義的安全信息分析策略（也稱為規(guī)則關(guān)聯(lián)策略，即攻擊場景） 中定義的 規(guī)則 順序先后匹配多種設(shè)備的多個 原始安全 事件，將多個 原始安全 事件 通過規(guī)則匹配，生成一條關(guān)聯(lián)分析后 事件。 通過規(guī)則關(guān)聯(lián)分析 能夠匹配一個攻擊事件發(fā)生的一系列步驟或幾個關(guān)鍵步驟，而且能夠組合一個攻擊發(fā)生在不同主機上的多個事件。達到更準確 地 檢測攻擊 、 減少誤報的目的。 在系統(tǒng)中，規(guī)則關(guān)聯(lián)分析引擎（ Rulebased Correlation Engine， RCE）處于聚合引擎和漏洞關(guān)聯(lián)引 擎（ Vulnerability Correlation Engine， VCE）之后，其目的是接收來自于 AE和 VCE 的安全事件，并將事件以攻擊場景匹配的方式生成新的安全事件。 RCE 的主要用例有：事件監(jiān)聽、事件分配、事件匹配規(guī)則、入庫和發(fā)送給其它引擎。 事件分配事件匹配規(guī)則入庫e x t e n d i n c l u d e AEV C E事件監(jiān)聽i n c l u d e CM發(fā)送e x t e n d R C E RCE 的組織結(jié)構(gòu)如下圖所示，橙色的方框是 RCE 部分，灰色的方框是 RCE 與其它模塊的接口部分。模塊的內(nèi)部是該引擎的線程，線程分別為事件監(jiān)聽線程、事件分配線程、動態(tài)工作線程、靜態(tài)工作線程、垃圾回收線程、入庫線程、結(jié)果處理線程、動靜態(tài)線程平衡、發(fā)送線程、引擎主線 程和心跳線程。 事 件 監(jiān) 聽 線 程 事 件 分 配 線 程 動 態(tài) 工 作 線 程靜 態(tài) 工 作 線 程 垃 圾 回 收 線 程動 靜 態(tài) 線 程 平 衡結(jié) 果 處 理 線 程 發(fā) 送 線 程入 庫 線 程引 擎 主 線 程 診 斷 機 制聚 合 引 擎MQ脆 弱 性 關(guān) 聯(lián) 引 擎MQ配 置 文 件（ S Y S _ P A R A M ）中 央 管 理 器規(guī) 則（ R C _ R U L E 表 ）InitModifyS O A PSOAPSOAP數(shù) 據(jù) 庫（ H I G H _ S E V ER I T Y _ E V E N T、L O W _ S E V E R IT Y _ E V E N T 、R C _ R E L A T E D_ E V E N T 、R C _ R U L E 和R C _ S T A T E ）J D B CM Q其 它 引 擎 規(guī)則可以實現(xiàn)包括順序、分支、分支選擇、合并、循環(huán)以及這幾種結(jié)構(gòu)的組合結(jié)構(gòu)，以達到能夠靈活的描述出各種攻擊場景的需求。 簡單規(guī)則 S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1 該規(guī)則只有一個狀態(tài)節(jié)點： S1 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ” 。 這種規(guī)則是為了描述 主機的應(yīng)用服務(wù)器在 8080 端口上的應(yīng)用服務(wù)停止。 順序結(jié)構(gòu)規(guī)則 S 1S 2S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t o p % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”S p o r t = “ 8 0 8 0 ”M s g L I K E “ % a p p l i c a t i o n s t a r t % ”S 2 該規(guī)則包含兩個狀態(tài)節(jié)點： S1 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application stop％ ” ； S2 定義為 SIP=、 SPort=8080、 Msg LIKE “ ％ application start％ ” 。 這種規(guī)則是為了描述 主機的應(yīng)用服務(wù)器在 8080 端口上的應(yīng)用服務(wù)重啟。 分支結(jié)構(gòu)規(guī)則 S 1S 2 S 3 S 4S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s s h l o g i n % ”S 1S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % s y s l o g d s t o p % ”S 3S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % r e b o o t % ”S 2S I P = “ 1 0 . 1 . 1 . 3 ”M s g L I K E “ % r o o t p w d c h a n g e d % ”S 4 該規(guī)則包含四個狀態(tài)節(jié) 點： S1 定義為 SIP=、 Msg LIKE “ ％ ssh login％ ” ； S2 定義為 SIP=、 Msg LIKE “ ％ reboot％ ” ； S3 定義為 SIP=、 Msg LIKE “％ syslogd stop％”； S4 定義為 SIP=、 Msg LIKE “％ root pwd changed％”。 這種規(guī)則是為了描述 主機被遠程使用 ssh 登錄之后，可能出現(xiàn)的三種敏感安全事件，分別是系統(tǒng)重啟、系統(tǒng)日志進程停止以及 root 用戶密碼被修改。 分 支選擇結(jié)構(gòu)規(guī)則 S 1S 2 S 3D e v t y p e = 1 0S E V E R I T Y _ I D = 2S 1A P P _ S E V E R I T Y = 3T 2A P P _ S E V E R I T Y 3T 3D e v t y p e = 1 0S I P = p r e E v e n t . S I PM s g L